Знать, какие следы совершения преступления искать на объекте завершения  неправомерного   доступа 

     Следы  неправомерного   доступа  к компьютерной  информации  можно представить двумя типами: материальные следы (следы, рассматриваемые трасологией, а также следы-вещества и следы-предметы) и информационные следы. Последние являются новацией в криминалистической характеристике преступления. Для характеристики информационных следов необходимо учитывать следующее. Закрепление  информации  на носителях вещественного типа знаковыми системами осуществляется за счет изменения образа физических тел. Это происходит независимо от того, кто осуществил  доступ  к  информации : легальный или  неправомерный  пользователь. Здесь же отмечу, что закрепление и перенос  информации  в сети ЭВМ осуществляется с использованием носителей энергетического типа, существующих в форме сигналов модулированных электротоков или электромагнитных волн, то есть локализованных в сетях коммуникации и в пространстве материальных носителей блоков данных, имеющих конверт¹ и содержание². Лицо, совершившее  неправомерный   доступ  к сообщению в сети, может изменить состав конверта сообщения и содержание сообщения.

     ¹ Конверт сообщения – часть сообщения, состав которой изменяется от одного этапа пересылки к другому и которая по-разному идентифицирует как отправителя сообщения, так и предполагаемых получателей сообщения, документирует трассировку сообщения и предоставляет  информацию  для системы пересылки сообщений, а также характеризует содержание сообщения.

     ² Содержание сообщения – часть сообщения, которую система пересылки сообщений не анализирует, не изменяет, за исключением преобразования, выполняемого ею во время пересылки (не меняя синтаксиса и семантики тела сообщения).

     Поэтому к информационным следам  неправомерного   доступа  к компьютерной  информации  на компьютерах и сетевых устройствах жертвы в криминалистическом плане можно отнести следующие последствия закрепления информации на носителях не только вещественного типа, но и энергетического типа, то есть и при прохождении информации в сети.

     Во-первых, любые изменения компьютерной информации, которые образуются в результате воздействия (уничтожения, модификации, копирования, блокирования) на форму  представления и синтаксис компьютерной информации, ее файловое представление, файловые атрибуты и реквизиты файлов, совершаемого путем доступа к  ней, и которые связаны с событием преступления. Эти следы находятся  на ЭВМ, сетевых устройствах, машинных носителях владельца, собственника компьютерной информации.

     Во-вторых, протоколы результатов работы антивирусных и тестовых ("антишпионских") программ. Для выявления подобных следов необходимо участие специалистов. Эти следы  также находятся на ЭВМ владельца, собственника компьютерной информации.

     В-третьих, изменения в загрузочной и  программной конфигурации компьютера, в системном реестре, в том  числе: изменение настроек рабочего стола; изменение порядка взаимодействия с периферийным оборудованием (принтером, модемом и др.); появление новых  и удаление прежних драйверов  сетевых устройств, изменение настроек портов ввода/вывода.

     На  изменения в загрузочной и  программной конфигурации компьютера могут указывать необычные проявления в работе ЭВМ. К ним относится: замедленная или недружественная  загрузка операционной системы; замедленная реакция процессора на ввод с клавиатуры; замедленная работа дискового накопителя при записи и считывании информации; внезапная работа и останов дискового накопителя, не вызванные активностью загруженного пользователем программного обеспечения; неадекватная реакция ЭВМ на команды пользователя; появление на экране нестандартных символов, знаков и пр.

     В-четвертых, протоколируемые результаты доступа  через компьютерные сети, например через Интернет. Эти следы возникают  в силу того, что система, через  которую производится доступ, нуждается  в определенной информации, которую  она запрашивает через интерфейсные устройства у абонента, пытающегося  соединиться с другим компьютером. К ним относится  электронный  адрес, используемое программное обеспечение и его версию. Кроме того, при доступе в сеть обычно запрашивается адрес электронной почты, реальное имя и другие данные. Эту информацию запрашивает и протоколирует программный сетевой администратор для контроля обращений на его сервер. Эта информация находится и в сети Интернет на серверах специальных сетевых служб, на сервере провайдера, на сервере локальной сети, с ЭВМ которой был осуществлен несанкционированный доступ, на компьютере, с которого был осуществлен выход в Интернет и осуществлен несанкционированный доступ. К формам такой  информации  относятся протоколы, временные файлы, резервные копии файлов, файлы истории, файлы-отчеты, стертые файлы, потерянные кластеры и пр., появившиеся в результате особенностей используемого программного обеспечения. Для выявления этих следов также необходимо участие специалистов. Ряд из этих мероприятий могут проводиться только под руководством следственных органов в ходе проведения оперативно-розыскных мероприятий. 

     Обладать  представлением и  располагать данными о предмете преступного посягательства

     Это очень сложный вопрос. Представляется, что  информация , принадлежащая собственнику, владельцу как предмет преступного посягательства характеризуется двумя сторонами: первое, она должна реально обладать а) признаками, позволяющими отнести ее к виду охраняемой законом  информации , б) свойствами защищенности, возникающими из-за ограничения доступа к ней установленными и соблюдаемыми мерами ее защиты собственником, владельцем; второе, она должна существовать на машинном носителе, в  электронно-вычислительной  машине (ЭВМ), системе ЭВМ или их сети в форме, обеспечивающей возможность управления ею. Авторы, характеризующие процедуру расследования, в этом месте не упоминают первую сторону предмета преступного посягательства, т.е. не указывают на необходимость оценки защищенности компьютерной  информации . Думаю, что это не совсем верно, так как собственник, владелец компьютерной  информации  должен обосновать органам следствия правомерность своего обращения к ним прежде всего тем, что обоснует отнесение  информации  к охраняемой законом, ее защищенность - соблюдением условий документирования, режима ограничения  доступа  к ней и т.п. И, скорее всего, от него потребуют доказательства использования сертифицированных средств защиты и ограничения  доступа , если эти средства являются функциональными блоками баз данных, информационных систем, программ ведения банка  электронных  текстов документов, текстовых и графических редакторов и т.п. Поэтому наличие признаков и свойств защищенности компьютерной  информации , к которой осуществлен несанкционированный  доступ , может быть криминалистической характеристикой такой  информации .

     Самую большую сложность взаимодействия при расследовании преступлений в отношении компьютерной  информации  может представлять проблема определения формулы состава преступления. То есть проблема соотношения способа  неправомерного   доступа  и материальной формы представления  информации , которое привело к последствиям в виде уничтожения, блокирования, модификации или копирования компьютерной  информации , нарушения работы ЭВМ, системы ЭВМ или их сети. Авторы юридических концепций в этом месте обходятся перечислением типов файлов, расширений и соотносимых (ассоциируемых) с ними прикладных программ (приложений). По умолчанию это означает, что все составы преступлений относятся только к самой  информации , содержащейся в теле файла, и не относятся к объективной форме машинного представления  информации . Однако уничтожить  информацию  у правомерного пользователя можно, удалив файл, переместив его на другую ЭВМ (недоступную), сделав его пустым и т.д. Блокировать файл можно, изменив расширение, изменив атрибуты зарегистрированных типов файлов в диалоговом окне "Свойства папки" меню "Настройка" меню "Пуск", внося изменения в системный реестр. Скопировать  информацию  можно, когда она находилась в теле файла, была загружена в область оперативной памяти, отводимой приложению, когда отображалась на экране. Уничтожить, блокировать, скопировать  информацию  можно, когда она пересылается по сети. И т.д. и т.п. И все эти действия могут производится при условии, что злоумышленник не знает семантического (смыслового) содержания  информации , не знаком с языковой формой ее представления. Он ориентируется на объективную машиночитаемую форму представления синтаксической  информации  в виде сетевого или пользовательского файла, идентифицируемую набором атрибутов. И в любом из обозначенных выше вариантов действий будут присутствовать и первое и второе основания для классификации преступления –  неправомерный   доступ  к компьютерной  информации  и его вредные последствия. Таким образом, в составе данного преступления нас будет интересовать не последствия в виде того, как  неправомерный  пользователь использовал саму  информацию  (семантический аспект), находившуюся на чужом машинном носителе, чужой ЭВМ или сети, а последствия в виде того, что он сделал с объективной машиночитаемой формой ее представления. Предметом преступления будет машиночитаемая форма представления охраняемой законом  информации  .

     Общим для всех форм машинного представления   информации  является то, что для этого используются различные виды синтаксиса. Представляется, что для воздействия на  информацию  непосредственно на компьютере собственника, владельца может использоваться:

     -        синтаксис языка статистического отображения  информации  (письменная речь, графическое представление) для прочтения, изменения данных;

     -        синтаксис языка программирования машиночитаемого образа статистической формы  информации  для управления приложениями;

     -        синтаксис языка управления файлами для просмотра и манипулирования его атрибутами.

     Использование при  неправомерном   доступе  любого из этих синтаксисов или их сочетания можно считать составообразующим преступление признаком, так как оно позволяет осуществить непосредственный или отложенный контакт с языковой (графической) формой представления охраняемой законом  информации .

     Что касается результатов использования  семантической составляющей компьютерной  информации , то это, как говорится, в прямом и переносном смысле, другая статья.   
 
 

Статья 272. Неправомерный доступ к компьютерной информации  
       1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, —  
       наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.  
       2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, —  
       наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Комм. С.В.Бородин       

 1. Уголовно-правовая защита компьютерной информации в российском уголовном законодательстве введена впервые. Ранее, 23 сентября 1992г., был принят Закон «О правовой охране программ для электронно-вычислительных машин и баз данных» (см. Ведомости РФ, 1992, No.42, ст.2325) и 20 февраля 1995г. — Федеральный закон «Об информации, информатизации и защите информации» (см. СЗ РФ, 1995, No.8, ст.609). В этих законах предусмотрен комплекс мер по защите ЭВМ, баз данных, сетей и в целом компьютерной информации. В ст.20 Закона от 23 сентября 1992г. содержалось положение о том, что выпуск под своим именем чужой программы для ЭВМ или базы данных либо незаконное воспроизведение или распространение таких произведений влечет за собой уголовную ответственность в соответствии с законом. Однако соответствующие уголовно-правовые нормы тогда не были приняты. Очевидно, посчитали достаточной ст.141 УК РСФСР, хотя она ответственности за упомянутые деяния не предусматривала. Эти вопросы, по нашему мнению, решены в ст.146 и 147 УК (см. комментарии к этим статьям).  
       2. Включение ст.272, как и ст.273 и 274 УК, в раздел о преступлениях, посягающих на общественную безопасность и общественный порядок, определяет объект рассматриваемых преступлений. Но это был бы слишком общий подход. Конкретно эти преступления направлены против той части установленного порядка общественных отношений, который регулирует изготовление, использование, распространение и защиту компьютерной информации. Выяснение данного обстоятельства важно для того, чтобы отграничить преступления, предусмотренные ст.272-274 УК, от других преступлений, связанных с использованием ЭВМ, системы ЭВМ и их сети для совершения других преступлений.  
       В тех случаях, когда компьютерная аппаратура является предметом преступлений против собственности, соответственно ее хищение, уничтожение или повреждение подлежит квалификации по ст.158-168 УК. Но дело в том, что информационная структура (программы и информация) не может быть предметом преступлений против собственности, поскольку машинная информация не отвечает ни одному из основных критериев предмета преступлений против собственности, в частности не обладает физическим признаком. Что касается компьютера как орудия преступления, то его следует рассматривать в ряду таких средств, как оружие или транспортные средства. В этом смысле использование компьютера имеет прикладное значение при совершении преступления, например хищения денежных средств или сокрытия налогов. Такие действия не рассматриваются в качестве самостоятельных преступлений, а подлежат квалификации по другим статьям УК в соответствии с объектом посягательства (см. подробнее: Новое уголовное право России. Особенная часть. М., 1996, с.271-274).  
       3. Понятие компьютерной информации определено в комментируемой статье. Предметом компьютерной информации являются информационные ресурсы, которые в ст.2 Федерального закона от 20 февраля 1995г. «Об информации, информатизации и защите информации» рассматриваются как отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах, в частности в банках данных. Эти ресурсы согласно ст.2 Закона содержат сведения о лицах, предметах, событиях, процессах, населении независимо от формы их представления. В законе далее дается полная расшифровка их содержания.  
       4. Под неправомерным доступом к охраняемой законом компьютерной информации следует понимать самовольное получение информации без разрешения ее собственника или владельца. В связи с тем что речь идет об охраняемой законом информации, неправомерность доступа к ней потребителя характеризуется еще и нарушением установленного порядка доступа к этой информации. Если нарушен установленный порядок доступа к охраняемой законом информации, согласие ее собственника или владельца не исключает, по нашему мнению, неправомерности доступа к ней.  
       Собственником информационных ресурсов, информационных систем, технологии и средств их обеспечения является субъект, в полном объеме реализующий права владения, пользования, распоряжения указанными объектами.  
       Владельцем информационных ресурсов, информационных систем, технологий и средств их обеспечения является субъект, осуществляющий владение и пользование указанными объектами и реализующий права распоряжения в пределах, установленных законом.  
       Пользователем (потребителем) информации является субъект, обращающийся к информации (подробнее о собственниках, владельцах и пользователях компьютерной информации см. Федеральный закон от 20 февраля 1995г.).  
       5. Способы неправомерного доступа к компьютерной информации могут быть самыми различными, например, представление фиктивных документов на право доступа к информации, изменение кода или адреса технического устройства, нарушение средств или системы защиты информации, кража носителя информации.  
       6. Ответственность по ст.272 УК наступает в том случае, если деяние повлекло указанные в ч.1 этой статьи последствия.  
       Под уничтожением информации следует понимать ее утрату при невозможности ее восстановления.  
       Блокирование информации — это невозможность ее использования при сохранности такой информации.  
       Модификация информации означает изменение ее содержания по сравнению с той информацией, которая первоначально (до совершения деяния) была в распоряжении собственника или законного пользователя.  
       Под копированием информации следует понимать ее переписывание, а также иное тиражирование при сохранении оригинала. Представляется, что копирование может означать и ее разглашение.  
       Нарушение работы ЭВМ, системы ЭВМ или их сети может выразиться в их произвольном отключении, в отказе выдать информацию, в выдаче искаженной информации при сохранении целости ЭВМ, системы ЭВМ или их сети.  
       7. Неправомерный доступ к компьютерной информации считается оконченным с момента наступления в результате этого неправомерного доступа к ней одного или нескольких из упомянутых последствий.  
       8. О совершении преступления группой лиц по предварительному сговору или организованной группой см., например, комментарии к ст.35, 102 УК.  
       9. Об использовании служебного положения при совершении преступления см., например, комментарии к ст.136, 201 и 285 УК.  
       10. Представляется, что к лицам, как указывается в ч.2 ст.272 УК, «равно имеющим доступ» к ЭВМ, системе ЭВМ или их сети, положение ч.1 этой статьи о несанкционированном доступе к компьютерной информации относится в тех случаях, когда они вышли за пределы определенных им обязанностей по работе и вторглись в ту сферу компьютерной информации, на которую их обязанности не распространяются. Полагаем, что о других случаях несанкционированного доступа к компьютерной информации для лиц, уже имеющих доступ, говорить вряд ли можно.  
       11. С субъективной стороны преступление может быть совершено только с прямым умыслом. Мотивами преступления могут быть корыстные или хулиганские побуждения, месть, зависть и др.  
       12. Субъектом преступления, предусмотренного ч.1 ст.272 УК, а также при совершении его группой лиц могут быть любые лица, достигшие 16 лет. При совершении преступления, предусмотренного ч.2 этой статьи, при других обстоятельствах, субъектами могут быть лишь лица, занимающие определенное служебное положение или имеющие доступ к ЭВМ, системе ЭВМ или их сети, т.е. субъект специальный.