К особенностям расследования  компьютерных преступлений можно отнести:

• специфические приемы работы (осмотры, изъятие, хранение и т.п.) с компьютерами, программным  обеспечением и машинными носителями информации;
• особенности выдвижения и проверки следственных действий;
• привлечение при проведении оперативно-розыскных и следственных действий специалистов в области применения информационных технологий.

     Следует отметить, что в перечне криминалистических специальностей, организованном по объектно-ориентированному принципу, до сих пор отсутствует  специальность, отражающая специфику  подобных исследований. Между тем  следственная практика нуждается в  методологическом обеспечении раскрытия  преступлений, одним из эпизодов в  которых является использование  компьютера.

     Необходимость разработки такой методологии обусловлена  отсутствием научно-обоснованных технико-криминалистических средств, тактических приемов и  рекомендаций по поиску, сбору, фиксации, хранению, исследованию и использованию  доказательств, полученных в результате расследования уголовных дел, связанных  с применением вычислительной техники. 
В настоящее время глава 28 (о компьютерных преступлениях) Уголовного кодекса РФ не может "работать" в полном объеме из-за отсутствия специалистов среди сотрудников правоохранительных органов.

     Компьютерные  преступления по своей сути можно  отнести к преступлениям высокого интеллектуального уровня, следовательно, и борьба с ними должна осуществляться адекватными мерами.

     Поэтому одной из важных проблем является повышение уровня специальной криминалистической подготовки следователей, которым предстоит  проводить расследования компьютерных преступлений.

     Эта проблема должна решаться, в первую очередь, в учебных заведениях. Для  этого требуется специальная  целевая программа, предусматривающая  подготовку соответствующих специалистов.

     Методика  раскрытия и расследования  компьютерных преступлений

• Типичные следственные ситуации первоначального этапа и следственные действия
• Практические особенности отдельных следственных действий
• Особенности производства осмотров и обысков
• Поиск и изъятие информации и следов воздействия на нее в ЭВМ и ее устройствах
• Поиск и изъятие информации и следов воздействия на нее вне ЭВМ
• Использование специальных познаний и назначение экспертиз

     В настоящее время перед правоохранительными  органами при расследовании компьютерных преступлений возникают криминалистические проблемы, характеризующие одновременно и специфику этого процесса, а  именно:

     1) сложность в установлении факта  совершения компьютерного преступления  и решении вопроса о возбуждении  уголовного дела;

     2) сложность в подготовке и проведении  отдельных следственных действий;

     3) особенности выбора и назначения  необходимых судебных экспертиз;

     4) целесообразность использования  средств компьютерной техники  в расследовании преступлений  данной категории;

     5) отсутствие методики расследования  компьютерных преступлений.

     По  оценкам отечественных и зарубежных исследователей, решение проблем  раскрытия и расследования преступлений данного вида представляет собой  задачу на несколько порядков более  сложную, чем задачи, сопряженные  с их предупреждением.

     Поэтому уровень латентности компьютерных преступлений определяется в настоящее  время в 90%. А из оставшихся 10% выявленных компьютерных преступлений раскрывается только 1%.

     Типичные  следственные ситуации первоначального  этапа и следственные действия

     Типовые ситуации - наиболее часто встречающиеся  ситуации расследования, предопределяющие особенности методики расследования.

     Они включают в себя типовые следственные версии, типовые задачи расследования  и методы и средства их решения.

     Анализ  отечественного и зарубежного опыта  показывает, что можно выделить три  типичные следственные ситуации:¹

     1. Собственник информационной системы  собственными силами выявил нарушение  целостности / конфиденциальности  информации в системе, обнаружил  виновное лицо и заявил от этом в правоохранительные органы.

     2. Собственник информационной системы  собственными силами выявил нарушение  целостности / конфиденциальности  информации в системе, не смог  обнаружить виновное лицо и  заявил об этом в правоохранительные  органы.

     3. Данные о нарушении целостности  / конфиденциальности информации  в информационной системе и  виновном лице стали общеизвестными  или непосредственно обнаружены  органом дознания (например, в ходе  проведения оперативно-розыскных  мероприятий по другому делу).

     При наличии заподозренного виновного  лица первоначальная задача следствия  заключается в сборе с помощью  собственника информационной системы  и процессуальной фиксации доказательств:

     а) нарушения целостности / конфиденциальности информации в системе;

     б) размера ущерба, причиненного нарушением целостности / конфиденциальности информации;

     в) причинной связи между действиями, образующими способ нарушения, и  наступившими последствиями путем  детализации способа нарушения целостности / конфиденциальности информации в системе и характера совершенных виновным действий;

     г) отношения виновного лица к совершенным  действиям и наступившим последствиям.

     Если  преступник задержан на месте совершения преступления или сразу же после  его совершения для данной ситуации характерны следующие первоначальные следственные действия:

     а) личный обыск задержанного;

     б) допрос задержанного;

     в) обыск по месту жительства задержанного.

     К типичным следственным действиям на данной стадии можно отнести осмотр и фиксацию состояния ЭВМ, сетей  ЭВМ и машинных носителей, допросы  очевидцев, а также лиц, обеспечивающих работу информационной системы в том числе должностных лиц. Важнейшим элементом работы является выемка (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояние информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения.

     Одновременно  следует принять меры к фиксации состояния рабочего места заподозренного, откуда он осуществил вторжение в  информационную систему и где  могут сохраняться следы его  действий.

     Полученные  в результате доказательства могут  дать основания для принятия решения  о привлечении лица к делу в  качестве подозреваемого или сразу  в качестве обвиняемого.

     При отсутствии заподозренного виновного  лица первоначальная задача следствия  заключается в сборе доказательств:

     а) нарушения целостности / конфиденциальности информации в системе;

     б) размера ущерба;

     в) причинной связи между действиями и наступившими последствиями.

     Типичные  следственные действия аналогичные  первой типичной ситуации. Однако одновременно следует принять меры к поиску рабочего места заподозренного, откуда он осуществил вторжение в информационную систему.

     Осуществляется  поиск:

• места входа в информационную систему и способа входа в систему (с помощью должностных лиц);
• "путей следования" злоумышленника или его программы к "атакованной" системе (с помощью должностных лиц).

     Такое место может находиться как у  него на службе, так и дома, а также  в иных местах, где установлена  соответствующая аппаратура.

     Круг  типичных общих версий сравнительно невелик:

• преступление действительно имело место при тех обстоятельствах, которые вытекают из первичных материалов;
• ложное заявление о преступлении.

     Типичными частными версиями являются:

• версии о личности преступника(ов);
• версии о местах совершения внедрения в компьютерную систему;
• версии об обстоятельствах, при которых было совершено преступление;
• версии о размерах ущерба, причиненного преступлением.

 

 

     Практические  особенности отдельных  следственных действий

     Осмотр  и обыск (выемка) по делам данной категории являются важнейшими инструментами  установления обстоятельств расследуемого  события.

     Известно, что главными процессуальными способами  изъятия вещественных доказательств  являются осмотр, обыск и выемка.

     Следует напомнить, что осмотр - это непосредственное обнаружение, восприятие и исследование следователем материальных объектов, имеющих отношение к исследуемому событию. Обыск - следственное действие, в процессе которого производится поиск  и принудительное изъятие объектов, имеющих значение для правильного  решения задач уголовного судопроизводства. Выемка - следственное действие, в процессе которого производится изъятие объектов, имеющих значение для правильного  решения задач уголовного судопроизводства, в тех случаях, когда их местонахождение  точно известно следователю и  изъятие прямо или косвенно не нарушает прав личности.

     Носители  информации, имеющей отношение к  расследуемому событию, могут быть с соблюдением установленного УПК  РСФСР порядка изъяты и приобщены  к уголовному делу в качестве вещественного  доказательства.

     Для участия в обыске и выемке целесообразно  приглашать специалиста в области  компьютерной техники.

     При осмотрах, обысках, выемках, сопряженных  с изъятием ЭВМ, машинных носителей  и информации возникает ряд общих  проблем, связанных со спецификой изымаемых  технических средств.

     Так, необходимо предвидеть меры безопасности, предпринимаемые преступниками  с целью уничтожения вещественных доказательств.

     Например, они могут использовать специальное  оборудование, в критических случаях  создающее сильное магнитное  поле, стирающее магнитные записи. Известна легенда о хакере, который  создал в дверном проеме магнитное поле такой силы, что оно уничтожало магнитные носители информации при выносе их из его комнаты.

     Преступник  имеет возможность включить в  состав программного обеспечения своей  машины программу, которая заставит компьютер периодически требовать  пароль, и, если несколько секунд правильный пароль не введен, данные в компьютере автоматически уничтожаются.

     Желательно  иметь с собой и использовать при обыске и осмотре устройство для определения и измерения магнитных полей.

     Вещественные  доказательства в виде ЭВМ, машинных носителей требуют особой аккуратности при транспортировке и хранении. Им противопоказанны резкие броски, удары, повышенные температуры, влажность. Все эти внешние факторы могут повлечь потерю данных, информации и свойств аппаратуры.

     Не  следует забывать при осмотрах и  обысках о возможностях сбора  традиционных доказательств (скрытых  отпечатков пальцев на клавиатуре, выключателях и др., шифрованных  рукописных записей и пр.).

     Осмотру подлежат все устройства конкретной ЭВМ.

     Фактически  оптимальный вариант изъятия  ЭВМ и машинных носителей информации - это фиксация их и их конфигурации на месте обнаружения и упаковка таким образом, чтобы аппаратуру можно было бы успешно, правильно  и точно так же, как на месте  обнаружения, соединить в лабораторных условиях или в месте производства следствия с участием специалистов.