Розслідування фактів неправомірного доступ до комп'ютерної інформації
Інформація та інформаційні правовідносин все частіше стають новим предметом злочинного посягання. До злочинів цієї категорії КК України відносить: неправомірне доступ до комп'ютерної інформації (ст. 272); створіння, використання і поширення шкідливих програм для ЕОМ (ст. 273), порушення правил експлуатації ЕОМ, системи ЕОМ або їх мережі (ст. 274).
Загальний об'єкт даних злочинів суспільні відносини щодо забезпечення інформаційної безпеки, безпосередніми а об'єктами злочинного посягання є: бази і банки даних, окремі файли конкретних комп'ютерних систем та мереж, а також комп'ютерні технології та програмні засоби, включаючи ті, що забезпечують захист комп'ютерної інформації від неправомірного доступу .
Під інформацією розуміються відомості про осіб, предмети, факти, події, явища і процеси незалежно від форми їх подання. Документована інформація це зафіксовані на матеріальному носії відомості з реквізитами, що дозволяють їх ідентифікувати. Комп'ютерна інформація вважається документованої, але зберігається в ЕОМ або управляє нею відповідно до програми і (або) розпорядженнями користувача.
До машинним носіям комп'ютерної інформації належать блоки пам'яті ЕОМ, її периферійні системи, комп'ютерні засоби зв'язку, мережеві пристрої і електрозв'язку мережі.
Відповідальність за ст. 272 КК РФ наступає у випадку, якщо неправомірне доступ до комп'ютерної інформації привів до таких небезпечних наслідків, як знищення, блокування, модифікація, копіювання інформації або порушення роботи ЕОМ, їх системи або мережі.
Знищенням вважається така зміна інформації, що позбавляє її первинної якості, внаслідок чого вона перестає відповідати своєму прямому призначенню. Під блокуванням розуміється тимчасова або постійна неможливість доступу до інформації з боку законного користувача, а під модифікацією її видозміну з появою нових, небажаних властивостей. Копіювання це відтворення точного або щодо точного аналогу оригіналу; а до порушення роботи ЕОМ, їх системи або мережі уповільнення, зациклення, припинення дії програми, порушення порядку виконання команд, відмову у видачі інформації, відключення елементів комп'ютерної системи, інші позаштатні ситуації. При цьому системою вважається взаємопов'язана сукупність комп'ютерів із їх єдиним організаційно-технічним забезпеченням, а об'єднання мережею систем ЕОМ, що діють на певній території.
Під час розслідування неправомірного доступу до комп'ютерної інформації обставини скоєного встановлюються в такій черговості:
+1) Факт неправомірного доступу до інформації в комп'ютерній системі або мережі;
2) місце несанкціонованого проникнення в цю систему або мережа;
3) час вчинення злочину;
4) спосіб несанкціонованого доступу;
5) ступінь надійності засобів захисту комп'ютерної інформації;
6) обличчя, які здійснили неправомірний доступ, їх винність і мотиви злочину;
7) шкідливі наслідки вчиненого.
Для розглянутих злочинів характерні такі ситуації початку розслідування:
1.   Власник комп'ютерної системи виявив порушення її цілісності та (або) конфіденційності, встановив винну особу і заявив про те, що сталося в правоохоронні органи.
2. Власник названі самостійно виявив порушення, однак не зміг встановити зловмисника і заявив, що сталося.
3. Інформація про порушення цілісності і (або) конфіденційності інформації та винному суб'єкта стали відомі або безпосередньо виявлені компетентним органом, власник комп'ютерної системи цей факт приховує.
4. Правоохоронним органом виявлено ознаки протиправного вторгнення в комп'ютерну систему, винну особу і власник інформації невідомі.
Факт неправомірного доступ до інформації виявляють, як правило, користувачі комп'ютерної системи або мережі. Такі факти іноді встановлюються в ході оперативно-розшукової діяльності органів внутрішніх справ, ФСБ, ФСНП Росії. Їх можна виявити і в ході прокурорських перевірок, ревізій, судових експертиз, слідчих дій по розслідуваних справах.
Ознаками несанкціонованого доступу або підготовки до нього можуть служити:
а) поява в комп'ютері перекручених даних;
б) тривале необновленіе кодів, паролів і інших захисних засобів комп'ютерної системи;
в) збільшення числа збоїв в роботі ЕОМ;
г) почастішали скарги користувачів комп'ютерної системи або мережі.
Таким фактами можуть передувати або супроводжувати:
1) здійснення без необхідності надурочних робіт;
2) невмотивовані відмови окремих співробітників, які обслуговують комп'ютерну систему або мережу, від чергової відпустки;
3) придбання працівником для особистого користування дорогого комп'ютера;
4) чисті дискети або диски, принесені на роботу кимось із співробітників комп'ютерної системи під приводом копіювання програм для комп'ютерних ігор;
5) почастішання випадків перезапису окремих даних без серйозних на це причин;
6) необгрунтована інтерес деяких працівників до змісту чужих принтерних роздруківок;
7) повторне введення в комп'ютер однієї і тієї ж інформації та ін
Необхідно з'ясувати також ознаки неправомірного доступу, що виражаються в відступи від встановленого порядку обробки документів. Маються на увазі:
a) порушення прийнятих правил оформлення документів та виготовлення машинограм;
б) зайві документи, що підготовлені для обробки на ЕОМ;
в) невідповідність інформації, що міститься в первинних документах, даними машинограм;
р) навмисні втрата або знищення первинних документів і машинних носіїв інформації, внесення спотворень в дані їх реєстрації. Слід, однак, пам'ятати, що перераховані ознаки можуть бути результатом не тільки зловживань, але й інших причин, наприклад халатність персоналу, випадкових помилок і збоїв комп'ютерної техніки.
Місце несанкціонованого проникнення в комп'ютерну систему або мережу вдається встановити з певними труднощами, оскільки таких місць може бути декілька. На практиці найчастіше виявляється місце неправомірного доступу до комп'ютерної інформації із метою розкрадання грошових коштів, але для цього також доводиться виявляти всі місця роботи комп'ютерів, що мають єдину телекомунікаційну зв'язок.
Набагато простіше це місце встановлюється тоді, коли розслідується несанкціонованому доступу до одиничного комп'ютера. Але й тут треба враховувати, що інформація на машинних носіях може зберігатися в інших приміщеннях.
У багато разів важче визначити безпосереднього місце застосування технічних засобів віддаленого несанкціонованого доступу, що не входять в дану комп'ютерну систему або мережу. На його встановленню необхідно залучати відповідних фахівців. Необхідно з'ясувати також місце зберігання інформації на носіях машинних, видобутої злочинцем в результаті неправомірного доступу до комп'ютерної системи або мережі.
Час несанкціонованого доступу можна визначити за допомогою програм загальносистемного призначення. У працюючому комп'ютері вони зазвичай фіксують поточний час. Якщо ця програма функціонує, то при несанкціонованому вході в систему або мережу час роботи на комп'ютері будь-якого користувача і виробництва конкретній операції автоматично фіксується в оперативній пам'яті. Тоді час несанкціонованого доступу можна визначити під час слідчого огляду комп'ютера, його роздруківок або дискет, виробленого за участю спеціаліста, щоб інформація, яка знаходиться в оперативній пам'яті ЕОМ або на дискеті, не була випадково стерта. Як спеціалістів можуть виступати, наприклад, працівники інформаційних центрів МВС, ГУВС, УВС суб'єктів Російської Федерації.
Час несанкціонованого доступу встановлюється шляхом допиту свідків і з числа співробітників даної комп'ютерної системи. З'ясовується, коли саме кожен з них працював на ЕОМ, якщо це не було зафіксовано в автоматичному режимі.
Способи злочинних маніпуляцій у сфері комп'ютерної інформації можуть бути розділені на дві великі групи. Перша група здійснюється без використання комп'ютерних пристроїв як інструмент для проникнення ззовні в інформаційні системи або впливу на них. Це можуть бути:
a) розкрадання машинних носіїв інформації у вигляді блоків і елементів ЕОМ;
б) використання візуальних, оптичних і акустичних засобів спостереження за ЕОМ;
в) зчитування і розшифровка різних електромагнітних випромінювань комп'ютера і забезпечують систем;
г) фотографування інформації в процесі її обробки;
д) виготовлення паперових дублікатів вхідних і вихідних документів, копіювання роздруківок;
е) використання оптичних і акустичних засобів спостереження за особами, які мають відношення до необхідної зловмисникові інформації, фіксація їх розмов;
є) огляд і вивчення не повністю утилізованих відходів діяльності комп'ютерних систем;
ж) вступ в прямий контакт з особами, які мають відношення до необхідної зловмисникові інформації, отримання від них під різними приводами потрібних відомостей і ін
Для таких дій, як правило, характерна досить локальна слідові картина. Вона визначається тим, що місце здійснення злочинних дій і дислокацію об'єкта злочинного посягання розташовані поблизу один від одного або збігаються. Прийоми їхнього дослідження досить традиційні.
Друга група злочинних дій здійснюється з використанням комп'ютерних і комунікаційних пристроїв. Тоді несанкціонований доступ реалізується за допомогою різних способів: підбором пароля, використанням чужого імені, відшукання і застосуванням прогалин у програмі, а також інших заходів подолання захисту комп'ютерної інформації. Конкретний спосіб несанкціонованого доступу можна встановити шляхом допиту свідків з числа осіб, які обслуговують комп'ютерну систему, і її розробників. При цьому слід враховувати виявлену слідову картину. У них необхідно з'ясувати як злочинець міг проникнути в захищену систему, наприклад дізнатися ідентифікаційний номер законного користувача, код, пароль для доступу, отримати відомості про інші засоби захисту системи або мережі ЕОМ.
Надзвичайно важливі й інші дії, спрямовані на фіксацію факту порушення цілісності (конфіденційності) комп'ютерної системи та її наслідків, слідів злочинних маніпуляцій винного суб'єкта, що відбилися в ЕОМ і на машинних носіях інформації, в лініях зв'язку та ін
Спосіб несанкціонованого доступу надійніше встановити шляхом виробництва судової інформаційно-технічної експертизи. Перед експертом ставиться питання: "Яким способом був здійснений несанкціонований доступ в дану комп'ютерну систему?" Для цього експерту потрібно представити всю проектну документацію на зламану комп'ютерну систему, а також дані про її сертифікації. При виробництві такої експертизи не обійтися без використання комп'ютерного обладнання тієї ж системи, яку зламав злочинець, або спеціальних технічних і програмних засобів.
У ряді випадків доцільний слідчий експеримент для перевірки можливості подолання засобів захисту комп'ютерної системи одним із можливих способів. Одночасно може бути перевірена можливість появи на екрані дисплея конфіденційної інформації або її роздруківки внаслідок помилкових, ненавмисних дій оператора або випадкового технічного збою в електронному обладнанні.
З'ясовуючи надійність засобів захисту комп'ютерної інформації, перш за все слід встановити, чи передбачені в даній системі або мережі ЕОМ заходи захисту від несанкціонованого доступу, в тому числі до певних файлів. Це можливо в ході допитів розробників і користувачів системи, а також при вивченні проектної документації та інструкцій з експлуатації системи. Вивчаючи інструкції, потрібно звертати особливу увагу на розділи про заходи захисту інформації, порядок допуску користувачів до конкретних даними, розмежування їх повноважень, організації контролю за доступом. Важливо розібратися в апаратних, програмних, криптографічних, організаційних та інших методах захисту інформації, оскільки для забезпечення високого ступеня надійності комп'ютерних систем, що обробляють документовану інформацію з обмеженим доступом, зазвичай використовується комплекс заходів щодо забезпечення їх безпеки від несанкціонованого доступу.
Так, законодавством передбачена обов'язкова сертифікація засобів захисту систем і мереж ЕОМ, а крім того обов'язкове ліцензування всіх видів діяльності в галузі проектування та виробництва названих засобів. Тому в процесі розслідування необхідно з'ясувати: 1) чи є ліцензія на виробництво засобів захисту інформації, задіяних у даній комп'ютерній системі, від несанкціонованого доступу і 2) чи відповідають їх параметри виданому сертифікату. Відповідь на останнє питання може дати інформаційно-технічна експертиза, за допомогою якої з'ясовується: чи відповідають засоби захисту інформації від несанкціонованого доступу, використані в даній комп'ютерній системі, виданому сертифікату? Щоправда, відповідальність за виявлені відхилення, що дозволили несанкціонований доступ до комп'ютерної інформації, лягає на користувача системи, а не на розробника засобів її захисту.
При встановленні осіб, які вчинили несанкціонований доступ до конфіденційної комп'ютерної інформації, слід враховувати, що він є технологічно дуже складним. Здійснити його можуть тільки фахівці, що володіють досить високою кваліфікацією. Тому пошук підозрюваних рекомендується починати з технічного персоналу зламаних комп'ютерних систем або мереж. Це в першу чергу їх розробники, а також керівники, оператори, програмісти, інженери зв'язку, фахівці із захисту інформації, інші співробітники.
Проведення практика свідчить, що чим технічно складніше спосіб проникнення в комп'ютерну систему або мережу, тим легше встановити підозрюваного, бо коло фахівців, що мають відповідні здібності, досить обмежений.
Доведення вини конкретного суб'єкта у несанкціонованому доступі до комп'ютерної інформації сприяє використання різних слідів, що виявляються при огляді ЕОМ і її компонентів. Це, наприклад, сліди пальців, записи на зовнішній упаковці дискет та ін Для їх дослідження призначаються криміналістичні експертизи дактилоскопічна, почеркознавську та ін
Для встановлення осіб, які зобов'язані забезпечувати належний режим доступу до комп'ютерної системи або мережі, слід насамперед ознайомитися з посадовими інструкціями, що визначають повноваження співробітників, відповідальних за захист конфіденційної інформації. Їх необхідно допитати для з'ясування, хто запускав нештатну програму і фіксувалося Чи це будь-який спосіб. Потрібно також з'ясувати, хто особливо захоплюється програмуванням, вчиться або вчився на курсах програмістів, цікавиться системами захисту інформації.
У суб'єктів, запідозрених у неправомірному доступі до комп'ютерної інформації, проводиться обшук з метою виявлення: ЕОМ різних конфігурацій, принтерів, засобів телекомунікаційного зв'язку з комп'ютерними мережами, записників, в тому числі електронних, з викривають записами, дискет і дисків з інформацією, що може мати значення для справи, особливо якщо це коди, паролі, ідентифікаційні номери користувачів даної комп'ютерної системи, а також відомості про них. При обшуку потрібно вилучати також літературу і методичні матеріали з комп'ютерної техніки та програмування. До виробництва обшуку й огляду вилучених предметів рекомендується залучати фахівця з комп'ютерної техніки, незацікавленого наприкінці справи.
Довести вину і з'ясувати мотиви осіб, які здійснили несанкціонований доступ до комп'ютерної інформації, можна лише за результатами всього розслідування. Вирішальними тут будуть показання свідків, підозрюваних, обвинувачених, потерпілих, висновок судової експертизи, головним чином інформаційно-технологічних та інформаційно-технічних, а також результати обшуків. У ході розслідування з'ясовується:
1) з якою метою здійснений несанкціонований доступ до комп'ютерної інформації;
2) чи знав правопорушник про систему її захисту;
3) бажав чи подолати цю систему і якими мотивами при цьому керувався.
Шкідливі наслідки неправомірного доступу до комп'ютерної системи або мережі можуть полягати в розкраданні грошових коштів або матеріальних цінностей, заволодінні комп'ютерними програмами, а також інформацією шляхом вилучення машинних носіїв або копіювання. Це може бути також незаконна зміна, знищення, блокування інформації, виведення з ладу комп'ютерного обладнання, впровадження в комп'ютерну систему шкідливого вірусу, введення завідомо неправдивих даних та ін
Розкрадання грошових коштів найчастіше відбуваються у банківських електронних системах шляхом несанкціонованого доступу до їх інформаційних ресурсів, внесення в останні змін і доповнень. Такі зазіхання зазвичай виявляють самі працівники банків, встановлюються вони і в ході оперативно-розшукових заходів. Сума розкрадання визначається за допомогою судово-бухгалтерської експертизи.
Факти неправомірного заволодіння комп'ютерними програмами внаслідок несанкціонованого доступу до тієї чи іншої системи та їх незаконного використання виявляють, як правило, потерпілі. Максимальний шкоди завдає незаконне отримання інформації з різних комп'ютерних систем, її копіювання та розмноження з метою продажу або використання в інших злочинних цілях (наприклад, для збирання компрометуючих даних на кандидатів на виборні посади різних представницьких і виконавчих органів державної влади).
Викрадені програми і бази даних можуть бути виявлені в ході обшуків у обвинувачених, а також при оперативно-розшукових заходах. Якщо незаконно отримана інформація є конфіденційною або має категорію державної таємниці, то шкоду, заподіяну її розголошенням, визначається представниками Держтехкомісії Росії.
Факти незаконної зміни, знищення, блокування інформації, виведення з ладу комп'ютерного обладнання, "закачування" в інформаційну систему завідомо неправдивих відомостей виявляються насамперед самими користувачами комп'ютерної системи або мережі. Слід враховувати, що не всі ці негативні наслідки наступають в результаті навмисних дій. Їх причиною можуть стати випадкові збої в роботі комп'ютерного обладнання, що відбуваються досить часто.
При визначенні розміру шкоди, заподіяної несанкціонованим доступом, враховуються не тільки прямі витрати на ліквідацію негативних наслідків, але й упущена вигода. Такі наслідки встановлюються в ході слідчого огляду комп'ютерного обладнання та носіїв інформації з аналізом баз і банків даних. Допоможуть тут і допити технічного персоналу, власників інформаційних ресурсів. Вид і розмір збитку зазвичай визначаються за допомогою комплексної експертизи, що проводиться за участю фахівців в області інформатизації, засобів обчислювальної техніки і зв'язку, економіки, фінансової діяльності та товарознавства.
На заключному етапі розслідування формується цілісне уявлення про обставини, які полегшили несанкціонований доступ до комп'ютерної інформації. Тут важливо послідовне вивчення різних документів, особливо що відносяться до захисту інформації. Дуже значущі матеріали відомчого (службового) розслідування.
До цих обставин відносяться:
1) неефективність методів захисту комп'ютерної інформації від несанкціонованого доступу;
2) суміщення функцій розробки та експлуатації програмного забезпечення в рамках одного структурного підрозділу;
3) незастосування в технологічному процесі всіх наявних засобів і процедур реєстрації операцій, дій програм і обслуговуючого персоналу;
4) порушення строків зміни паролів користувачів, а також термінів зберігання копій програм і комп'ютерної інформації.