Организационно-тактические особенности расследования преступлений, совершаемых с использованием компьютерных технологий
Выпуск:
ART 53173
Библиографическое описание статьи для цитирования:
Пимонов
Б.
В. Организационно-тактические особенности расследования преступлений, совершаемых с использованием компьютерных технологий // Научно-методический электронный журнал «Концепт». –
2013. – Т. 3. – С.
851–855. – URL:
http://e-koncept.ru/2013/53173.htm.
Аннотация. В статье, на основании проведённого исследования, предложен алгоритм реализации тактических операций по уголовным делам о преступлениях, совершаемых с использованием компьютерных технологий. Раскрыты особенности тактики отдельных следственных действий для данной категории преступных посягательств.
Ключевые слова:
компьютерные технологии, тактическая операция, компьютерная информация, тактика следственных действий, осмотр места происшествия, обыск, допрос
Текст статьи
Пимонов Борис Викторовичкандидат юридических наук, старший преподаватель кафедры организации расследования преступлений и судебных экспертиз ФГКОУ ДПО «Тюменский институт повышения квалификации сотрудников МВД России», Тюменская область, г.ТюменьEmail:bvpimonov@bk.ru
Организационнотактические особенности расследования преступлений, совершаемых с использованием компьютерных технологий
Аннотация: В статье, на основании проведённого исследования,предложен алгоритм реализации тактических операций по уголовным делам о преступлениях, совершаемых с использованием компьютерных технологий. Раскрыты особенности тактики отдельных следственных действий для данной категории преступных посягательств.Ключевые слова:тактическая операция, компьютерная информация,компьютерные технологии, тактика следственных действий, осмотр места происшествия, обыск, допрос.
Значимость повышения качества расследования уголовных дел о вынесенных в заголовок статьи преступлениях в настоящее времяочевидна. Это обусловливает постоянное направление правоохранительными органами заявок в научноисследовательские и образовательные учреждения на проведение исследований различных проблем выявления, квалификации, расследования и предупреждения посягательств, совершаемых с использованием компьютерных технологий. Настоящая статья предлагает ознакомиться научной общественности, а также сотрудникам практических органов с отдельными рекомендациями по организации расследования и тактике отдельных следственных действий, проводимых по делам обозначенной категориипреступлений, не имеющими ограничительного грифа распространения.Организационный аспект расследования любого преступления предполагает обязательное планирование действий следователяи взаимодействующих субъектов.После возбуждения уголовного дела, связанного с преступными посягательствами, совершенными с использованием компьютерных технологий, следователь составляет согласованный план следственных действий и оперативнорозыскных мероприятий, в котором перечень следственных действий и направлений оперативной работы целесообразно излагать в комплексах тактических операций, выделяемых по кругу решаемых в процессе расследования задач:–тактическая операция по задержанию участников преступной группы(как правило, осуществляется в ходе реализацииматериалов оперативной разработки, потому по большей части находит отражение в плане реализации);–тактическая операция по отысканиюисточников криминалистически значимой информации;–тактическая операция по изобличению лиц, осуществляющих преступную деятельность;и т.п.При установлении максимального числа источников криминалистически значимой информации, успешной реализации оперативных материалов и задержании всех соучастников преступной группы согласованный план следственных действий и оперативнорозыскных мероприятий может содержать в себе ниже перечисленные действия:1.После реализации тактической операции по задержанию преступника необходимо произвести у него выемку предметов, которые могут использоваться для хранения, уничтожения, блокирования, модификации, копирования компьютерной информации (флешнакопитель, мобильный (сотовый) телефон, портативный компьютер и др.), находящейся при нем.2.Произвести с участием подозреваемого и специалистаосмотры предметов, используемыхв подготовке, совершении и сокрытия преступления.Привлечение подозреваемого (обвиняемого) к осмотру предметов и документов повышает эффективность его изобличения через демонстрацию имеющихся неопровержимых доказательств его вины с последующим разъяснением их значимости и путей использования. Однако на практике данный тактический прием используется достаточно редко.3.Сразу после задержания должны быть запланированы и проведены одновременные обыски у всех соучастников. Учитывая высокую загруженность следственных подразделений,возможно, например, организация производства контроля и записи телефонных переговоров, а,учитывая, что соучастники, получив информацию о том, что в отношении них проводится проверка их деятельности, попытаются скоординировать совместные действия на сокрытие следов преступной деятельности.За период с момента задержания подозреваемого и до его допроса следователю (оперуполномоченному) необходимо провести максимальное количество следственных действий и оперативнорозыскных мероприятий, направленных на выявлениеи закрепление доказательственной информации, недопущение уничтожения ее источников. Кроме того, если реализовать данное следственное действие в конце тактической операции (уголовнопроцессуальное законодательство позволяет провести его в течение 24 часов), у подозреваемого создается информационный вакуум и преувеличенное представление об имеющейся у следователя информации. В случае, если данные мероприятия невозможно провести в течение 24 часов, то допрос подозреваемого может ограничиться свободным рассказом, без постановки дополнительных вопросов.Параллельно с обысками оперативному подразделению должно быть поручено выявление близких связей подозреваемых для планирования дополнительных обысков,преступных связей (особенно коррупционных) с целью принятия мер по нейтрализации противодействия,продолжено прослушивание телефонных переговоров подозреваемых, их близких и родственников.5.По результатам обыска оперативному подразделению должно быть поручено установление имущества подозреваемых (транспортных средств, расчетных счетов, вкладов, сейфов в банках, ценных бумаг в депозитарияхинедвижимости по документам, обнаруженным в ходе обыска), обстоятельств его приобретения, источников средств на его приобретение.6.Допроситьродственников подозреваемых по результатам обысков и обстоятельствам преступной деятельности.7.Получить у подозреваемых необходимые образцы для сравнительного исследования (в большинстве случаев это образцы почерка, голоса и отпечатков пальцев). Так, например, исследование почерка может проводиться по обнаруженным и изъятым записям логинов и паролей для доступа к различным аккаунтам, IPадресов или какихлибо сведений потерпевших. Идентификация голоса может быть осуществлена по автоматической записи телефонных переговоров, осуществляемой на смартфон посредством специальной программы (например, SoundExplorer), а следы пальцев или ладоней рук могут быть обнаружены на компьютерной технике, с использованием которой осуществлялась преступная деятельность.8.Осмотретьизъятыепри обысках объектыв присутствии подозреваемых.9.По имеющимся по делу объектам следует назначить соответствующие судебные экспертизы, с постановлениями о назначении которых ознакомить подозреваемых.10.Дать поручение оперативным подразделениям на установлениенеизвестныхранее потерпевших и соучастников, а также мест, где осуществлялась подготовка и совершение рассматриваемой категории преступных посягательств (например, места с точкой доступа к сети Интернет).11.Допросить выявленных свидетелей. Ими, например, могут быть сотрудники потерпевшей организации (администратор сети, инженерпрограммист, оператор аппаратнопрограммного комплекса, специалист по информационной безопасности, сотрудники службы безопасности).12.Провести предъявление подозреваемых для опознания свидетелям, если таковые имеются, и потерпевшим.13.Допросить подозреваемых.14.Поручить оперативным подразделениям организовать оперативные мероприятия в местах нахождения задержанных с целью получения информации о линии их поведения, осведомленности о деятельности следствия, неизвестных источниках доказательственной информации, недопущения общения между собой и с их соучастниками на свободе.15.Поручить организовать наблюдение за свидетелями со стороны обвинения (для установления фактов криминального воздействия на них с целью изменения показаний)изасвидетелями со стороны защиты (для выявления причин дачи ложных показаний).16.Провести следственные эксперименты с участием подозреваемых. Как правило, по делам рассматриваемой категории это эксперименты поустановлению механизма события, следообразования либо проверка профессиональных навыков субъекта.17.Осмотреть с участием подозреваемых представленные оперативными подразделениями фонограммы прослушивания их телефонных переговоров.18.Ознакомить подозреваемых с заключениями проведенных экспертиз и допросить по их результатам.19.Предъявить обвинение и допросить их в качестве обвиняемых с демонстрацией в ходе допроса всех полученных доказательств. 20.Вслучае несогласия с обвинениеми продолжения отказа от дачи показаний либо их ложное предоставление–провести очные ставки с потерпевшимии свидетелями. Если при реализации материалов оперативнорозыскной деятельности сложилась ситуация, когда задержана только часть преступной группы, а остальные скрылись или сведения о личностях ее участников не установлены, то расследование в первую очередь должно быть направлено на решение следующих задач:1.Организовать сбор сведений о личности задержанных, обращая внимание на их связи,с целью установления информации о местонахождении скрывшихся соучастников и их биографических данных;2.Недопущение уничтожения источников доказательственной информации,поскольку незадержанныелица предпринимают все возможные попытки к сокрытию следов преступления.3.Используя различные тактические приемы,в том числе основанные наразжиганииконфликта, добиться от одного из задержанных признательных показаний для получения необходимой изобличительной информации с цельюуспешной реализации рассматриваемой тактической операции с последующим задержанием подозреваемых.В данной ситуациипредложенный выше алгоритм сохраняется. Однако существуют и свои отличительные особенности:–проведение одновременных групповых обысков возможно лишь в случае установления мест деятельности преступной группы или пребывания незадержанных соучастников;–акцент в планировании оперативнорозыскной деятельности смещается на получение максимально возможной информации из мест содержания задержанного, его личных контактов на Интернет сайтах (www.odnoklassniki.ru, www.facebook.com, www.vk.comи др.), а также в местах жительства, работы, отдыха.На стадии доследственной или оперативной проверки и после возбуждения уголовного дела перед правоохранительными органами стоят задачи по обнаружению, закреплению и сохранению криминалистически значимой информации, что предполагает реализацию соответствующей тактической операции. На первоначальном этапе сохранность информации, имеющей существенное значение для успешного раскрытия и расследования преступного посягательства,реализуется посредством проведения неотложных следственных действий, направленных на:–обнаружение, фиксацию и изъятие следов преступления;–установление места (в том числеместо неправомерного проникновения в компьютерные сети иликкомпьютерному оборудованию), времени, предмета противоправного деяния; –определение способа совершения противоправного деяния (копирование, модификация, уничтожение информации, внесения вредоносных программ);–характер и размер ущерба; –задержание виновных лиц;–предотвращение уничтожения информации с последующей незамедлительной организацией и проведением одновременных выемок и обысков. Вопросы о тактике проведения следственных действий достаточно широко и подробно освещены в криминалистической литературе, и мы не будем останавливаться на их детальном рассмотрении. Отметим лишь основные черты производстваотдельных следственных действий по делам о преступлениях,совершаемых с использованием компьютерных технологий.При производстве осмотра места происшествия (обыска, выемки) на любых объектах следователю необходимо обеспечить соблюдение следующих мер предосторожностис целью обеспечения сохранности компьютерной информации и возможности последующей ее фиксации и изъятия: –запретить комулибо, находящемуся на месте проведения следственного действия, прикасаться к компьютерной технике, её периферийным устройствам, а также к системам электроснабжения;–запретить присутствующим покидать место производства следственного действия без разрешения следователя;–не производить какихлибо действий с компьютерной техникой, если неизвестны последствия;–если к моменту проведения следственного действия электроснабжение отключено, то до его восстановления целесообразно обесточить компьютерную технику.–при работе со съемными носителями информации соблюдать рекомендации заводаизготовителя (не прикасаться руками к рабочей поверхности дисков, не подвергать их электромагнитному воздействию, хранить устройства в специальной упаковке, не наносить на поверхность данных объектов надписи, пометки, печати, разбирать их корпус, подносить близко к нагревательным приборам, подвергать воздействию воды и пыли); –не допускать попадания мелких частиц, в частности дактилоскопических порошков, на рабочие части компьютеров (разъемы, дисковод, вентилятор и др.). Так, В.Б. Вехов приводит пример неправильного выбора криминалистических средств: при осмотре поддельной банковской карты с магнитной полосой для обнаружения следов пальцев рук специалистомкриминалистом были использованы криминалистические порошки и магнитная кисть. В результате электронные реквизиты документа (банковской карты) были уничтожены, и он потерял доказательственную силу[1, с 60].При подготовке к производству осмотра места происшествия следователю необходимо заранее запланировать подбор и привлечение понятых, которые должны иметь необходимый минимум знаний в области устройства систем обработки компьютерной информации, а также соответствующих специалистов(например, программиста по операционным системам и прикладным программам, специалиста по средствам связи и компьютерным сетям, а также техникакриминалиста для обнаружения и сбора традиционных доказательств). Специалистов можно пригласить как из числа сотрудников экспертных подразделений, так и из числа работников государственных и коммерческих структур: специализированных кафедр ВУЗов, служб информационной безопасности, магазинов по продаже компьютерной техники и программного обеспечения, сервисных центров по ремонту компьютерной техники.Кроме того, до начала непосредственного производства следственного действия следователю целесообразно организовать установление личностей всех присутствующих на месте его проведения, так как именно «случайные лица» могут оказаться, например, персоналом технического сопровождения обработки компьютерной информации, осуществляющимработу не на постоянной основе (внештатные сотрудники). Сведения, которые они могут сообщить, дают возможность следователю установить дополнительную информацию о компьютерной системе и характере информации, используемой организацией или физическим лицом.Следователь, приступая к непосредственному осмотру места происшествия, после установления количества и вида компьютерной техники в помещении, наличия коммутируемых сетейдолжен определить, какое оборудование включенои какое программное обеспечение исполняется. Если обнаруживается, что запущена программа удаления информации, необходимо предпринять меры,позволяющие остановить процесс и сохранить оставшуюся информацию, если остановить работу программы не получается, следует прекратить работу компьютера, обесточив его. Если компьютеры подключены к сети, то для пресечения возможности дистанционного уничтожения информации, находящейся в компьютерной технике, например, через сеть Интернет, необходимо отсоединить кабели модемов, телефонных линий, средств сетевого доступа (сетевых карт, маршрутизаторов, роутеров). При наличии локальной сети отключение компьютеров можно не производить лишь в случае, когда все объединенное в сеть оборудование известно и находится под контролем следователя.Далее требуется произвести детальное обследование обнаруженной компьютерной техники и носителей информации. Обычно оно начинается с наиболее сложных объектов –компьютеров (системных блоков вместе с подключенными к ним периферийными устройствами), а если речь идет о сети –то с компьютера, выступающего сервером (центральным компьютером сети).При обследовании компьютера необходимо:–изучить местонахождение компьютера, его расположение относительно других объектов;–определить количество и вид подключенных к нему периферийных устройств, способы их подключения, готовность к работе;–осмотреть рабочие поверхности, часто контактирующие с телом человека: кнопки включения устройств, мыши, клавиатуры, дисководов, порты подключения, а также корпус системного блокаимониторв целях обнаружения различного рода следов;–изучить изображение на экране монитора, осуществить фотографирование или видеозапись этого изображения,установить, какая операционная система загружена,какие программы выполняются на текущий момент, какая установлена дата и текущее время;
–поочередно остановить выполнение программ и пронаблюдать за изменениями, происшедшими на экране компьютера;–при наличии технической возможности скопировать информацию, которая может иметь значение для дела, находящуюся: 1) на жестком диске (дисках) компьютера; 2) на других носителях информации, находящихся в дисководах компьютера; 3) в энергозависимой памяти (оперативной памяти, видеопамяти) компьютера, очищающейся после выключения компьютера. Если объем информации, которая,возможно,имеет отношение к делу, превышает технические возможности следователя, то целесообразнее будет осуществить ее изъятие вместе с носителем или системным блоком.–корректно завершить работу операционной системы, выключить и обесточить компьютер, отсоединить от системного блока компьютера кабели, произвести упаковку компьютерной техники[2, с. 19].Важным условием обеспечения сохранности обнаруженных и изъятых при производстве следственных действий объектов является соблюдение правил их упаковки и транспортировки. Применительно к рассматриваемой нами категории преступлений необходимо отметить следующие требования:1. Подготовить компьютерную технику к упаковке:–произвести корректное завершение работы программного обеспечения компьютера, выключить и обесточить его;–описать в протоколе следственного действия расположение относительно друг друга компьютерной техники, последовательности еёсоединения, наличия компьютерной сети;–отсоединить кабели периферийных устройств (в случае необходимости осуществить маркировку кабелей и устройств).2.Упаковать компьютерную технику:–определить в зависимости от условий иособенностейизымаемых объектов способы упаковки(упаковку желательно производить в специальную тару, в которой данная техника поставляется предприятием –изготовителем, а в случае ее отсутствия произвести оклеивание бумагой всех разъемов, чтобы исключить возможность изменения, блокирования, уничтожения информации, разукомплектования и физического повреждения основных рабочих компонентов компьютерной техники);–упаковать объекты отдельно друг от друга с обязательным опечатыванием краев (клапанов) упаковочного материала (сменные носители компьютерной информации упаковываются отдельно друг от друга);–указать на упаковке информацию об объекте (серийный (заводской) номер, тип, название), местоего обнаружения, наименование следственного действия, датуи местоего проведения, что заверяется подписями всех лиц, участвующих в следственном действии.
Все проводимые действия с программным обеспечением, периферийными устройствами компьютера описываются в протоколе следственного действия и фиксируются с использованием фотои видеофиксации.3. Обеспечить транспортировку изъятых объектов, предусмотрев защиту от механического воздействия на аппаратуру, влияния атмосферных факторов, воздействия электромагнитных излучений.
Важное значение для расследования преступлений рассматриваемой категорииимеет качество проведения обысков у подозреваемого, которые, как правило, проводятся в его доме, на рабочем месте, а также у знакомых и родственников. В последнем случае результат зависит от качества оперативного сопровождения расследования преступных посягательств, при котором должны отрабатываться родственные и иные связи подозреваемого.
Основными задачами обыскапо делам рассматриваемой категории являются:–обнаружение и изъятие компьютерной техники;–отыскание и изъятие следов, а также других предметов и объектов, имеющих значениедля дела (поддельные кредитные и расчетные банковские карты, различные записи о логинах,паролях,аккаунтах, ежедневники, перекидные календари, переписка, свидетельствующая о связях преступника, мобильные телефоны, ноутбуки и др.);–отыскание и изъятие денежных средств, ценностей и имущества, полученных от преступной деятельности.На подготовительном этапе производства обыска следователю необходимо:–установить месторасположения помещения (характер системы охраны, локализацию разводки коммуникационных сетей, пути входа (выхода);–выяснить,какие средства защиты информации от несанкционированного доступа имеет электронновычислительнаятехника,находящаяся в помещении;–установить тип источников электропитания компьютерной техники (наличиеисточников бесперебойного электропитания) и расположение пунктов их обесточивания для предотвращения возможных попыток уничтожения искомой компьютерной информации;–подготовить техникокриминалистические средства для поиска, осмотра, фиксации и изъятия искомой компьютерной информации, документов и предметов;–пригласить понятых, обладающих необходимым минимумом знаний в области устройства систем обработки компьютерной информации;–пригласить специалистов в области компьютерных технологий(в соответствиис ч. 9.1 ст. 182 и ч.3.1 ст.183 Уголовнопроцессуального кодекса Российской Федерации (далее –УПК РФ) при производстве обыска и выемки изъятие электронных носителей информации осуществляетсяс обязательным участием специалиста)[3].Приступая к последующим этапам производства обыска, следователю на месте его проведения необходимо выполнить следующие действия:–определить расположение окон с целью установления видеонаблюдения за ними на момент начала и производства обыска;–запретить всем присутствующим в помещении лицам прикасаться к компьютерной технике;–пригласить для участия в производстве следственного действия подозреваемого (обвиняемого, представителя администрации соответствующей организации);–отключить средства защиты информации от несанкционированного доступа;–определить способы соединений компьютерной техники и периферийных устройств (при наличии локальной коммутируемой сети установить сервер (рабочую станцию) –центральный компьютер);–для пресечения возможности дистанционного уничтожения информации в компьютерной технике, например, через сеть Интернет, произвести отключение коммутируемой сети от технических устройств;–описать исполняемые программы на включенной компьютерной технике;–произвести видеои фотофиксацию;–осуществить отключение оборудования, его упаковку и транспортировку.При производстве обыска (осмотра места происшествия или выемки), помимо компьютерной техники, изъятию подлежат: –бумажные носители информации (например, рукописные записи или распечатки машинной информации), отражающие текст программы, электронные ключи доступа, пароли, персональные идентификационные номера (ПИНкоды), электронные адреса пользователей конкретных компьютерных систем и сетей, алгоритмы входа и работы в сетях, номера банковских счетов;–предметы или устройства идентификации и аутентификации санкционированного пользователя (например, электронные ключи HASP);–договоры (соглашения) на доступ к сети Интернет, техническому обслуживанию компьютерных систем;–расчетнокассовые и иные бухгалтерские документы;–расчетные и кредитные банковские карточки (например, с их помощью могли обналичиваться похищенные денежные средства);–карта с хранимой стоимостью (скретчкарта, карта с магнитной полосой, смарткарта, флешкарта, блок мобильного телефона, чип и т.д.);–личные документы подозреваемого (обвиняемого).Необходимо также выявлять и фиксировать места хранения и тайники, предназначенные дляукрытия указанных объектов.В протоколе следственного действия рекомендуется отражать следующие моменты:–все действия со средствами компьютерной техники (нажатия на клавиши клавиатуры, порядок выключения и отсоединения проводов и т.д.) и их результаты (включая содержание прозвучавших в ответ звуковых фрагментов); –место обнаружения каждого носителя компьютерной информации, характеристики обнаруженных, осмотренных и изъятых объектов (при описании системного блока персонального компьютера, модема, принтера и т.д.необходимо указать их размеры, название фирмыпроизводителя, марку, модель, серийный номер; при описании отдельных носителей компьютерной информации –их размеры, внешний вид, материал корпуса, тип (магнитный, оптический и т.п.), фирму производителя, объем памяти, рукописные или заводские надписи на наклейках; характерные признаки: царапины, гравировки, различные повреждения);–по возможности описание необходимых файлов (их атрибутов, даты, времени создания и последней модификации), содержащих информационные следы преступных действий;–наличие внутри компьютерной техники нештатной аппаратуры.В соответствиис ч.5 ст. 182 УПК РФ вещественные доказательства в виде электронных носителей информации хранятся в опечатанном виде в условиях, исключающихвозможность ознакомления посторонними лицами с содержащимися на них сведениямии обеспечивающих их сохранность. Возвращаются электронные носители информации их законному владельцу после осмотра и производства других необходимых следственных действий, еслиэто возможно без ущерба для доказывания.В ходе осуществления осмотра изъятых при производстве следственныхдействий предметов, в частности,жестких дисков, съемных носителей компьютерной информации и их содержимого,необходимо обращать внимание на следующее:–тип (назначение), марка (название), конфигурация, цвет и заводской номер (серийный, инвентарный или учетный номер изделия);–техническое состояние внешний вид, целостность корпуса, комплектность (конструктивные изменения в архитектуре строения); –тип источника электропитания;–для жестких дисков: тип файловой системы, количество виртуальных дисков, их размер (объем свободной памяти), метка тома;–вредоносное программное обеспечение (вирусы, троянские программы, вредоносные утилиты, рекламные программы);–программное обеспечение, предназначенное для осуществления несанкционированного доступа к системным ресурсам компьютеров (например, программы для подбора паролей);–программное обеспечение, предназначенное для защиты от несанкционированного доступа, а также сохраненные адреса сайтов в закладках браузера, позволяющих осуществлять электронные платежи в сети Интернет (WebMoney, RBK Money, Яндекс Деньги);–информация о какихлибо финансовых операциях (бухгалтерская документация, номера банковскихсчетов и т.д.), реквизитах доступа к системным ресурсам компьютеров, идентификационных номеров банковских расчетных карт, а также произведенных перечислений;–фото и видео архивы, а также переписка соучастников, касающаяся подготовки, осуществления и сокрытия преступной деятельности;–сведения, составляющие государственную, коммерческую, банковскую тайну, а также нарушающие авторские и смежные права;–файлов протоколов работы пользователя компьютера (логфайлов).–наличие скрытых или ранее стертых файлов (программ) и их реквизиты (название, размер, дата и время создания или уничтожения).Важное значение имеет производство личного обыска, который, как правило, проводится одновременно с задержанием. Целью данного вида обыска является обнаружение и изъятиеу подозреваемого денег и ценностей, полученных в результате противоправных деяний, записок с адресами соучастников, сотового телефона и других предметов. Отдельные предметы и вещи, обнаруженные при проведении таких следственных действий, как осмотр местапроисшествия или обыск, могут дать обширную информацию о механизме совершения преступлений, совершенных с использованием компьютерных технологий. Такими предметами могут быть мобильный телефон, персональный компьютер, ежедневник. К сожалению, на практике следователи не уделяют должного внимания исследованию информации, находящейся в указанных объектах.Однако внастоящее время невозможно представить современного человека, а тем более занимающегося преступной деятельностью, совершаемой с использованием компьютерных технологий, без мобильного телефона, который используется как первичный накопитель значимойи несущественной информации. Так, при осмотре мобильного телефонав программной оболочкенеобходимо акцентировать внимание на информации, содержащейся в записной книжке ипозволяющей установить личные и деловые связии контактыизучаемого объекта. Текстовую и мультимедийную информацию о его делах, связях и отношениях можно получить в разделе сообщения. Изучив галерею с фото и видеоизображениями можно получить фотографии соучастников, видеозаписи места и способа осуществления противоправного деяния с использованием компьютерных технологий. По заметкамв органайзере телефона устанавливаются значимые для подозреваемого (обвиняемого) события и встречи. Полученную информацию необходимо сопоставить с записями, сделанными в ежедневнике или записной книжке. Указанные в ежедневнике безымянные встречи в сопоставлении со сделанными в эти дни звонками, посланными и полученными сообщениямипозволяют установить, с кем проводилась встреча, ее сущность и результат. Кроме полученной информации о контактах подозреваемого (обвиняемого), можно установить, обладает ли он знаниями, необходимыми для осуществления рассматриваемой категории преступлений.Следующая выделяемая нами тактическая операция направлена на изобличение лица, совершившего преступное посягательство с использованием компьютерных технологий. В рамках ее реализации применяются такие следственные действия, как:допрос, опознание, проверка показаний на месте и следственный эксперимент.К проведению допроса следует предварительно тщательно подготовиться: сформулировать вопросы, подлежащие выяснению, составить план допроса и определить соответствующую тактику его проведения, в случае необходимости проконсультироваться у специалиста.Необходимо отметить, что допрос родственников играет немаловажную роль в розыске скрывшегося подозреваемого, установления его материального состояния и источников финансового дохода. Здесь немаловажным обстоятельством является тщательное планирование указанного следственного действия. Это обусловлено, вопервых, нежеланиемродственниковосуществления уголовного преследования в отношении близкого им человека. Вовторых, допрос родственников сопряжен с раскрытием их личной, а в некоторых ситуацияхи интимной информации. Втретьих, в случае угрозы их экономическому благополучию следователь может ощутить серьезное противодействие с их стороны. Эффективным тактическим приемом,используемым при допросе родственников, является выстраивание односторонней отрицательной характеристики личности подозреваемого, которую допрашиваемый попытается поправить, дополнить. При этом следователь получит дополнительную информацию о связях преступника, его увлечениях, круге знакомых и другие сведения, которыемогутспособствовать установлению его местонахождения, мест сокрытия криминалистически значимой информации или денежных средств, полученных преступным путем, а также путей их легализации.Следственный эксперимент по делам указанной категории на практике проводится достаточно редко, что, возможно, обусловлено тем, что врамках его производствавряд ли возможно обнаружение имеющейся компьютерной информации, так как обнаружение и изъятие информации идет несколько вразрез с его целью. Однако в практике встречаются ситуации, когда в ходеследственного эксперимента создается новая информация, в том числе и компьютерная[4, с. 26]. Кроме того, проведение следственного эксперимента с участием подозреваемых дает возможность установить механизм события преступного посягательства, следообразования либо проверить истинные профессиональные навыки субъекта. Так, подозреваемому могут быть предоставлены все предметы,необходимые для воспроизведения преступных действий, с требованием продемонстрировать свои умения и навыки и, соответственно, подтверждения своих показаний. В случае неуспешных действий подозреваемого можно сделать вывод о самооговоре и противодействии следствию, выражающемуся в сокрытии истиной информации. Таким образом, можно установить истинного исполнителя или организатора преступной деятельности.Настоящие рекомендации, конечно же, не претендуют на исчерпывающий характер, и тем более не могут быть универсальным ключом к раскрытию каждого преступления, связанного с использованием компьютерных технологий. Однако автор надеется, что использование следователями и оперативными работниками материалов данной статьи позволит им оптимизировать процесс организации раскрытия и расследования указанных посягательств. Также авторбудет признателен всем читателям, которые выскажут критические замечания по изложенному материалу, для совершенствования предложенного исозданияпоследующих научных продуктов.
ССЫЛКИ НА ИСТОЧНИКИ1.Вехов В.Б. Осмотр документа на машинном носителе // Уголовный процесс.–2005.–
№ 1.2.С.Н. Вязов, О.Г. Григорьев Особенности обнаружения и изъятия компьютерной информации, обладающей доказательственным значением при расследовании уголовных дел// Тюмень: ТЮИ МВД России. –2006.3.Уголовнопроцессуальный кодекс Российской Федерации: утв. ФЗ от 18 декабря 2001 г. № 177ФЗ. [Электронный ресурс]. СИПС «Консультант Плюс». 4.С.Н. Вязов, О.Г. Григорьев Указ. соч.
Pimonov Boris Viktorovichcandidate of jurisprudence, senior teacher of chair of the organization of investigation of crimes and judicial examinations of Tyumen Institute of Professional Development of Staff of the Ministry of Internal Affairs of Russia, Tyumen region, TyumenEmail: bvpimonov@bk.ru
Organizational and tactical features of investigation of the crimes committed with use of computer technologies
Abstract: In article, on the basis of the conducted research, the algorithm of realization of tactical operations on criminal cases about the crimes committed withuse of computer technologies is offered. Features of tactics of investigative actions for thiscategory of criminal encroachments are opened.Keywords:tactical operation, computer information, computer technologies, tactics of investigative actions, scene survey, search, interrogation.
Организационнотактические особенности расследования преступлений, совершаемых с использованием компьютерных технологий
Аннотация: В статье, на основании проведённого исследования,предложен алгоритм реализации тактических операций по уголовным делам о преступлениях, совершаемых с использованием компьютерных технологий. Раскрыты особенности тактики отдельных следственных действий для данной категории преступных посягательств.Ключевые слова:тактическая операция, компьютерная информация,компьютерные технологии, тактика следственных действий, осмотр места происшествия, обыск, допрос.
Значимость повышения качества расследования уголовных дел о вынесенных в заголовок статьи преступлениях в настоящее времяочевидна. Это обусловливает постоянное направление правоохранительными органами заявок в научноисследовательские и образовательные учреждения на проведение исследований различных проблем выявления, квалификации, расследования и предупреждения посягательств, совершаемых с использованием компьютерных технологий. Настоящая статья предлагает ознакомиться научной общественности, а также сотрудникам практических органов с отдельными рекомендациями по организации расследования и тактике отдельных следственных действий, проводимых по делам обозначенной категориипреступлений, не имеющими ограничительного грифа распространения.Организационный аспект расследования любого преступления предполагает обязательное планирование действий следователяи взаимодействующих субъектов.После возбуждения уголовного дела, связанного с преступными посягательствами, совершенными с использованием компьютерных технологий, следователь составляет согласованный план следственных действий и оперативнорозыскных мероприятий, в котором перечень следственных действий и направлений оперативной работы целесообразно излагать в комплексах тактических операций, выделяемых по кругу решаемых в процессе расследования задач:–тактическая операция по задержанию участников преступной группы(как правило, осуществляется в ходе реализацииматериалов оперативной разработки, потому по большей части находит отражение в плане реализации);–тактическая операция по отысканиюисточников криминалистически значимой информации;–тактическая операция по изобличению лиц, осуществляющих преступную деятельность;и т.п.При установлении максимального числа источников криминалистически значимой информации, успешной реализации оперативных материалов и задержании всех соучастников преступной группы согласованный план следственных действий и оперативнорозыскных мероприятий может содержать в себе ниже перечисленные действия:1.После реализации тактической операции по задержанию преступника необходимо произвести у него выемку предметов, которые могут использоваться для хранения, уничтожения, блокирования, модификации, копирования компьютерной информации (флешнакопитель, мобильный (сотовый) телефон, портативный компьютер и др.), находящейся при нем.2.Произвести с участием подозреваемого и специалистаосмотры предметов, используемыхв подготовке, совершении и сокрытия преступления.Привлечение подозреваемого (обвиняемого) к осмотру предметов и документов повышает эффективность его изобличения через демонстрацию имеющихся неопровержимых доказательств его вины с последующим разъяснением их значимости и путей использования. Однако на практике данный тактический прием используется достаточно редко.3.Сразу после задержания должны быть запланированы и проведены одновременные обыски у всех соучастников. Учитывая высокую загруженность следственных подразделений,возможно, например, организация производства контроля и записи телефонных переговоров, а,учитывая, что соучастники, получив информацию о том, что в отношении них проводится проверка их деятельности, попытаются скоординировать совместные действия на сокрытие следов преступной деятельности.За период с момента задержания подозреваемого и до его допроса следователю (оперуполномоченному) необходимо провести максимальное количество следственных действий и оперативнорозыскных мероприятий, направленных на выявлениеи закрепление доказательственной информации, недопущение уничтожения ее источников. Кроме того, если реализовать данное следственное действие в конце тактической операции (уголовнопроцессуальное законодательство позволяет провести его в течение 24 часов), у подозреваемого создается информационный вакуум и преувеличенное представление об имеющейся у следователя информации. В случае, если данные мероприятия невозможно провести в течение 24 часов, то допрос подозреваемого может ограничиться свободным рассказом, без постановки дополнительных вопросов.Параллельно с обысками оперативному подразделению должно быть поручено выявление близких связей подозреваемых для планирования дополнительных обысков,преступных связей (особенно коррупционных) с целью принятия мер по нейтрализации противодействия,продолжено прослушивание телефонных переговоров подозреваемых, их близких и родственников.5.По результатам обыска оперативному подразделению должно быть поручено установление имущества подозреваемых (транспортных средств, расчетных счетов, вкладов, сейфов в банках, ценных бумаг в депозитарияхинедвижимости по документам, обнаруженным в ходе обыска), обстоятельств его приобретения, источников средств на его приобретение.6.Допроситьродственников подозреваемых по результатам обысков и обстоятельствам преступной деятельности.7.Получить у подозреваемых необходимые образцы для сравнительного исследования (в большинстве случаев это образцы почерка, голоса и отпечатков пальцев). Так, например, исследование почерка может проводиться по обнаруженным и изъятым записям логинов и паролей для доступа к различным аккаунтам, IPадресов или какихлибо сведений потерпевших. Идентификация голоса может быть осуществлена по автоматической записи телефонных переговоров, осуществляемой на смартфон посредством специальной программы (например, SoundExplorer), а следы пальцев или ладоней рук могут быть обнаружены на компьютерной технике, с использованием которой осуществлялась преступная деятельность.8.Осмотретьизъятыепри обысках объектыв присутствии подозреваемых.9.По имеющимся по делу объектам следует назначить соответствующие судебные экспертизы, с постановлениями о назначении которых ознакомить подозреваемых.10.Дать поручение оперативным подразделениям на установлениенеизвестныхранее потерпевших и соучастников, а также мест, где осуществлялась подготовка и совершение рассматриваемой категории преступных посягательств (например, места с точкой доступа к сети Интернет).11.Допросить выявленных свидетелей. Ими, например, могут быть сотрудники потерпевшей организации (администратор сети, инженерпрограммист, оператор аппаратнопрограммного комплекса, специалист по информационной безопасности, сотрудники службы безопасности).12.Провести предъявление подозреваемых для опознания свидетелям, если таковые имеются, и потерпевшим.13.Допросить подозреваемых.14.Поручить оперативным подразделениям организовать оперативные мероприятия в местах нахождения задержанных с целью получения информации о линии их поведения, осведомленности о деятельности следствия, неизвестных источниках доказательственной информации, недопущения общения между собой и с их соучастниками на свободе.15.Поручить организовать наблюдение за свидетелями со стороны обвинения (для установления фактов криминального воздействия на них с целью изменения показаний)изасвидетелями со стороны защиты (для выявления причин дачи ложных показаний).16.Провести следственные эксперименты с участием подозреваемых. Как правило, по делам рассматриваемой категории это эксперименты поустановлению механизма события, следообразования либо проверка профессиональных навыков субъекта.17.Осмотреть с участием подозреваемых представленные оперативными подразделениями фонограммы прослушивания их телефонных переговоров.18.Ознакомить подозреваемых с заключениями проведенных экспертиз и допросить по их результатам.19.Предъявить обвинение и допросить их в качестве обвиняемых с демонстрацией в ходе допроса всех полученных доказательств. 20.Вслучае несогласия с обвинениеми продолжения отказа от дачи показаний либо их ложное предоставление–провести очные ставки с потерпевшимии свидетелями. Если при реализации материалов оперативнорозыскной деятельности сложилась ситуация, когда задержана только часть преступной группы, а остальные скрылись или сведения о личностях ее участников не установлены, то расследование в первую очередь должно быть направлено на решение следующих задач:1.Организовать сбор сведений о личности задержанных, обращая внимание на их связи,с целью установления информации о местонахождении скрывшихся соучастников и их биографических данных;2.Недопущение уничтожения источников доказательственной информации,поскольку незадержанныелица предпринимают все возможные попытки к сокрытию следов преступления.3.Используя различные тактические приемы,в том числе основанные наразжиганииконфликта, добиться от одного из задержанных признательных показаний для получения необходимой изобличительной информации с цельюуспешной реализации рассматриваемой тактической операции с последующим задержанием подозреваемых.В данной ситуациипредложенный выше алгоритм сохраняется. Однако существуют и свои отличительные особенности:–проведение одновременных групповых обысков возможно лишь в случае установления мест деятельности преступной группы или пребывания незадержанных соучастников;–акцент в планировании оперативнорозыскной деятельности смещается на получение максимально возможной информации из мест содержания задержанного, его личных контактов на Интернет сайтах (www.odnoklassniki.ru, www.facebook.com, www.vk.comи др.), а также в местах жительства, работы, отдыха.На стадии доследственной или оперативной проверки и после возбуждения уголовного дела перед правоохранительными органами стоят задачи по обнаружению, закреплению и сохранению криминалистически значимой информации, что предполагает реализацию соответствующей тактической операции. На первоначальном этапе сохранность информации, имеющей существенное значение для успешного раскрытия и расследования преступного посягательства,реализуется посредством проведения неотложных следственных действий, направленных на:–обнаружение, фиксацию и изъятие следов преступления;–установление места (в том числеместо неправомерного проникновения в компьютерные сети иликкомпьютерному оборудованию), времени, предмета противоправного деяния; –определение способа совершения противоправного деяния (копирование, модификация, уничтожение информации, внесения вредоносных программ);–характер и размер ущерба; –задержание виновных лиц;–предотвращение уничтожения информации с последующей незамедлительной организацией и проведением одновременных выемок и обысков. Вопросы о тактике проведения следственных действий достаточно широко и подробно освещены в криминалистической литературе, и мы не будем останавливаться на их детальном рассмотрении. Отметим лишь основные черты производстваотдельных следственных действий по делам о преступлениях,совершаемых с использованием компьютерных технологий.При производстве осмотра места происшествия (обыска, выемки) на любых объектах следователю необходимо обеспечить соблюдение следующих мер предосторожностис целью обеспечения сохранности компьютерной информации и возможности последующей ее фиксации и изъятия: –запретить комулибо, находящемуся на месте проведения следственного действия, прикасаться к компьютерной технике, её периферийным устройствам, а также к системам электроснабжения;–запретить присутствующим покидать место производства следственного действия без разрешения следователя;–не производить какихлибо действий с компьютерной техникой, если неизвестны последствия;–если к моменту проведения следственного действия электроснабжение отключено, то до его восстановления целесообразно обесточить компьютерную технику.–при работе со съемными носителями информации соблюдать рекомендации заводаизготовителя (не прикасаться руками к рабочей поверхности дисков, не подвергать их электромагнитному воздействию, хранить устройства в специальной упаковке, не наносить на поверхность данных объектов надписи, пометки, печати, разбирать их корпус, подносить близко к нагревательным приборам, подвергать воздействию воды и пыли); –не допускать попадания мелких частиц, в частности дактилоскопических порошков, на рабочие части компьютеров (разъемы, дисковод, вентилятор и др.). Так, В.Б. Вехов приводит пример неправильного выбора криминалистических средств: при осмотре поддельной банковской карты с магнитной полосой для обнаружения следов пальцев рук специалистомкриминалистом были использованы криминалистические порошки и магнитная кисть. В результате электронные реквизиты документа (банковской карты) были уничтожены, и он потерял доказательственную силу[1, с 60].При подготовке к производству осмотра места происшествия следователю необходимо заранее запланировать подбор и привлечение понятых, которые должны иметь необходимый минимум знаний в области устройства систем обработки компьютерной информации, а также соответствующих специалистов(например, программиста по операционным системам и прикладным программам, специалиста по средствам связи и компьютерным сетям, а также техникакриминалиста для обнаружения и сбора традиционных доказательств). Специалистов можно пригласить как из числа сотрудников экспертных подразделений, так и из числа работников государственных и коммерческих структур: специализированных кафедр ВУЗов, служб информационной безопасности, магазинов по продаже компьютерной техники и программного обеспечения, сервисных центров по ремонту компьютерной техники.Кроме того, до начала непосредственного производства следственного действия следователю целесообразно организовать установление личностей всех присутствующих на месте его проведения, так как именно «случайные лица» могут оказаться, например, персоналом технического сопровождения обработки компьютерной информации, осуществляющимработу не на постоянной основе (внештатные сотрудники). Сведения, которые они могут сообщить, дают возможность следователю установить дополнительную информацию о компьютерной системе и характере информации, используемой организацией или физическим лицом.Следователь, приступая к непосредственному осмотру места происшествия, после установления количества и вида компьютерной техники в помещении, наличия коммутируемых сетейдолжен определить, какое оборудование включенои какое программное обеспечение исполняется. Если обнаруживается, что запущена программа удаления информации, необходимо предпринять меры,позволяющие остановить процесс и сохранить оставшуюся информацию, если остановить работу программы не получается, следует прекратить работу компьютера, обесточив его. Если компьютеры подключены к сети, то для пресечения возможности дистанционного уничтожения информации, находящейся в компьютерной технике, например, через сеть Интернет, необходимо отсоединить кабели модемов, телефонных линий, средств сетевого доступа (сетевых карт, маршрутизаторов, роутеров). При наличии локальной сети отключение компьютеров можно не производить лишь в случае, когда все объединенное в сеть оборудование известно и находится под контролем следователя.Далее требуется произвести детальное обследование обнаруженной компьютерной техники и носителей информации. Обычно оно начинается с наиболее сложных объектов –компьютеров (системных блоков вместе с подключенными к ним периферийными устройствами), а если речь идет о сети –то с компьютера, выступающего сервером (центральным компьютером сети).При обследовании компьютера необходимо:–изучить местонахождение компьютера, его расположение относительно других объектов;–определить количество и вид подключенных к нему периферийных устройств, способы их подключения, готовность к работе;–осмотреть рабочие поверхности, часто контактирующие с телом человека: кнопки включения устройств, мыши, клавиатуры, дисководов, порты подключения, а также корпус системного блокаимониторв целях обнаружения различного рода следов;–изучить изображение на экране монитора, осуществить фотографирование или видеозапись этого изображения,установить, какая операционная система загружена,какие программы выполняются на текущий момент, какая установлена дата и текущее время;
–поочередно остановить выполнение программ и пронаблюдать за изменениями, происшедшими на экране компьютера;–при наличии технической возможности скопировать информацию, которая может иметь значение для дела, находящуюся: 1) на жестком диске (дисках) компьютера; 2) на других носителях информации, находящихся в дисководах компьютера; 3) в энергозависимой памяти (оперативной памяти, видеопамяти) компьютера, очищающейся после выключения компьютера. Если объем информации, которая,возможно,имеет отношение к делу, превышает технические возможности следователя, то целесообразнее будет осуществить ее изъятие вместе с носителем или системным блоком.–корректно завершить работу операционной системы, выключить и обесточить компьютер, отсоединить от системного блока компьютера кабели, произвести упаковку компьютерной техники[2, с. 19].Важным условием обеспечения сохранности обнаруженных и изъятых при производстве следственных действий объектов является соблюдение правил их упаковки и транспортировки. Применительно к рассматриваемой нами категории преступлений необходимо отметить следующие требования:1. Подготовить компьютерную технику к упаковке:–произвести корректное завершение работы программного обеспечения компьютера, выключить и обесточить его;–описать в протоколе следственного действия расположение относительно друг друга компьютерной техники, последовательности еёсоединения, наличия компьютерной сети;–отсоединить кабели периферийных устройств (в случае необходимости осуществить маркировку кабелей и устройств).2.Упаковать компьютерную технику:–определить в зависимости от условий иособенностейизымаемых объектов способы упаковки(упаковку желательно производить в специальную тару, в которой данная техника поставляется предприятием –изготовителем, а в случае ее отсутствия произвести оклеивание бумагой всех разъемов, чтобы исключить возможность изменения, блокирования, уничтожения информации, разукомплектования и физического повреждения основных рабочих компонентов компьютерной техники);–упаковать объекты отдельно друг от друга с обязательным опечатыванием краев (клапанов) упаковочного материала (сменные носители компьютерной информации упаковываются отдельно друг от друга);–указать на упаковке информацию об объекте (серийный (заводской) номер, тип, название), местоего обнаружения, наименование следственного действия, датуи местоего проведения, что заверяется подписями всех лиц, участвующих в следственном действии.
Все проводимые действия с программным обеспечением, периферийными устройствами компьютера описываются в протоколе следственного действия и фиксируются с использованием фотои видеофиксации.3. Обеспечить транспортировку изъятых объектов, предусмотрев защиту от механического воздействия на аппаратуру, влияния атмосферных факторов, воздействия электромагнитных излучений.
Важное значение для расследования преступлений рассматриваемой категорииимеет качество проведения обысков у подозреваемого, которые, как правило, проводятся в его доме, на рабочем месте, а также у знакомых и родственников. В последнем случае результат зависит от качества оперативного сопровождения расследования преступных посягательств, при котором должны отрабатываться родственные и иные связи подозреваемого.
Основными задачами обыскапо делам рассматриваемой категории являются:–обнаружение и изъятие компьютерной техники;–отыскание и изъятие следов, а также других предметов и объектов, имеющих значениедля дела (поддельные кредитные и расчетные банковские карты, различные записи о логинах,паролях,аккаунтах, ежедневники, перекидные календари, переписка, свидетельствующая о связях преступника, мобильные телефоны, ноутбуки и др.);–отыскание и изъятие денежных средств, ценностей и имущества, полученных от преступной деятельности.На подготовительном этапе производства обыска следователю необходимо:–установить месторасположения помещения (характер системы охраны, локализацию разводки коммуникационных сетей, пути входа (выхода);–выяснить,какие средства защиты информации от несанкционированного доступа имеет электронновычислительнаятехника,находящаяся в помещении;–установить тип источников электропитания компьютерной техники (наличиеисточников бесперебойного электропитания) и расположение пунктов их обесточивания для предотвращения возможных попыток уничтожения искомой компьютерной информации;–подготовить техникокриминалистические средства для поиска, осмотра, фиксации и изъятия искомой компьютерной информации, документов и предметов;–пригласить понятых, обладающих необходимым минимумом знаний в области устройства систем обработки компьютерной информации;–пригласить специалистов в области компьютерных технологий(в соответствиис ч. 9.1 ст. 182 и ч.3.1 ст.183 Уголовнопроцессуального кодекса Российской Федерации (далее –УПК РФ) при производстве обыска и выемки изъятие электронных носителей информации осуществляетсяс обязательным участием специалиста)[3].Приступая к последующим этапам производства обыска, следователю на месте его проведения необходимо выполнить следующие действия:–определить расположение окон с целью установления видеонаблюдения за ними на момент начала и производства обыска;–запретить всем присутствующим в помещении лицам прикасаться к компьютерной технике;–пригласить для участия в производстве следственного действия подозреваемого (обвиняемого, представителя администрации соответствующей организации);–отключить средства защиты информации от несанкционированного доступа;–определить способы соединений компьютерной техники и периферийных устройств (при наличии локальной коммутируемой сети установить сервер (рабочую станцию) –центральный компьютер);–для пресечения возможности дистанционного уничтожения информации в компьютерной технике, например, через сеть Интернет, произвести отключение коммутируемой сети от технических устройств;–описать исполняемые программы на включенной компьютерной технике;–произвести видеои фотофиксацию;–осуществить отключение оборудования, его упаковку и транспортировку.При производстве обыска (осмотра места происшествия или выемки), помимо компьютерной техники, изъятию подлежат: –бумажные носители информации (например, рукописные записи или распечатки машинной информации), отражающие текст программы, электронные ключи доступа, пароли, персональные идентификационные номера (ПИНкоды), электронные адреса пользователей конкретных компьютерных систем и сетей, алгоритмы входа и работы в сетях, номера банковских счетов;–предметы или устройства идентификации и аутентификации санкционированного пользователя (например, электронные ключи HASP);–договоры (соглашения) на доступ к сети Интернет, техническому обслуживанию компьютерных систем;–расчетнокассовые и иные бухгалтерские документы;–расчетные и кредитные банковские карточки (например, с их помощью могли обналичиваться похищенные денежные средства);–карта с хранимой стоимостью (скретчкарта, карта с магнитной полосой, смарткарта, флешкарта, блок мобильного телефона, чип и т.д.);–личные документы подозреваемого (обвиняемого).Необходимо также выявлять и фиксировать места хранения и тайники, предназначенные дляукрытия указанных объектов.В протоколе следственного действия рекомендуется отражать следующие моменты:–все действия со средствами компьютерной техники (нажатия на клавиши клавиатуры, порядок выключения и отсоединения проводов и т.д.) и их результаты (включая содержание прозвучавших в ответ звуковых фрагментов); –место обнаружения каждого носителя компьютерной информации, характеристики обнаруженных, осмотренных и изъятых объектов (при описании системного блока персонального компьютера, модема, принтера и т.д.необходимо указать их размеры, название фирмыпроизводителя, марку, модель, серийный номер; при описании отдельных носителей компьютерной информации –их размеры, внешний вид, материал корпуса, тип (магнитный, оптический и т.п.), фирму производителя, объем памяти, рукописные или заводские надписи на наклейках; характерные признаки: царапины, гравировки, различные повреждения);–по возможности описание необходимых файлов (их атрибутов, даты, времени создания и последней модификации), содержащих информационные следы преступных действий;–наличие внутри компьютерной техники нештатной аппаратуры.В соответствиис ч.5 ст. 182 УПК РФ вещественные доказательства в виде электронных носителей информации хранятся в опечатанном виде в условиях, исключающихвозможность ознакомления посторонними лицами с содержащимися на них сведениямии обеспечивающих их сохранность. Возвращаются электронные носители информации их законному владельцу после осмотра и производства других необходимых следственных действий, еслиэто возможно без ущерба для доказывания.В ходе осуществления осмотра изъятых при производстве следственныхдействий предметов, в частности,жестких дисков, съемных носителей компьютерной информации и их содержимого,необходимо обращать внимание на следующее:–тип (назначение), марка (название), конфигурация, цвет и заводской номер (серийный, инвентарный или учетный номер изделия);–техническое состояние внешний вид, целостность корпуса, комплектность (конструктивные изменения в архитектуре строения); –тип источника электропитания;–для жестких дисков: тип файловой системы, количество виртуальных дисков, их размер (объем свободной памяти), метка тома;–вредоносное программное обеспечение (вирусы, троянские программы, вредоносные утилиты, рекламные программы);–программное обеспечение, предназначенное для осуществления несанкционированного доступа к системным ресурсам компьютеров (например, программы для подбора паролей);–программное обеспечение, предназначенное для защиты от несанкционированного доступа, а также сохраненные адреса сайтов в закладках браузера, позволяющих осуществлять электронные платежи в сети Интернет (WebMoney, RBK Money, Яндекс Деньги);–информация о какихлибо финансовых операциях (бухгалтерская документация, номера банковскихсчетов и т.д.), реквизитах доступа к системным ресурсам компьютеров, идентификационных номеров банковских расчетных карт, а также произведенных перечислений;–фото и видео архивы, а также переписка соучастников, касающаяся подготовки, осуществления и сокрытия преступной деятельности;–сведения, составляющие государственную, коммерческую, банковскую тайну, а также нарушающие авторские и смежные права;–файлов протоколов работы пользователя компьютера (логфайлов).–наличие скрытых или ранее стертых файлов (программ) и их реквизиты (название, размер, дата и время создания или уничтожения).Важное значение имеет производство личного обыска, который, как правило, проводится одновременно с задержанием. Целью данного вида обыска является обнаружение и изъятиеу подозреваемого денег и ценностей, полученных в результате противоправных деяний, записок с адресами соучастников, сотового телефона и других предметов. Отдельные предметы и вещи, обнаруженные при проведении таких следственных действий, как осмотр местапроисшествия или обыск, могут дать обширную информацию о механизме совершения преступлений, совершенных с использованием компьютерных технологий. Такими предметами могут быть мобильный телефон, персональный компьютер, ежедневник. К сожалению, на практике следователи не уделяют должного внимания исследованию информации, находящейся в указанных объектах.Однако внастоящее время невозможно представить современного человека, а тем более занимающегося преступной деятельностью, совершаемой с использованием компьютерных технологий, без мобильного телефона, который используется как первичный накопитель значимойи несущественной информации. Так, при осмотре мобильного телефонав программной оболочкенеобходимо акцентировать внимание на информации, содержащейся в записной книжке ипозволяющей установить личные и деловые связии контактыизучаемого объекта. Текстовую и мультимедийную информацию о его делах, связях и отношениях можно получить в разделе сообщения. Изучив галерею с фото и видеоизображениями можно получить фотографии соучастников, видеозаписи места и способа осуществления противоправного деяния с использованием компьютерных технологий. По заметкамв органайзере телефона устанавливаются значимые для подозреваемого (обвиняемого) события и встречи. Полученную информацию необходимо сопоставить с записями, сделанными в ежедневнике или записной книжке. Указанные в ежедневнике безымянные встречи в сопоставлении со сделанными в эти дни звонками, посланными и полученными сообщениямипозволяют установить, с кем проводилась встреча, ее сущность и результат. Кроме полученной информации о контактах подозреваемого (обвиняемого), можно установить, обладает ли он знаниями, необходимыми для осуществления рассматриваемой категории преступлений.Следующая выделяемая нами тактическая операция направлена на изобличение лица, совершившего преступное посягательство с использованием компьютерных технологий. В рамках ее реализации применяются такие следственные действия, как:допрос, опознание, проверка показаний на месте и следственный эксперимент.К проведению допроса следует предварительно тщательно подготовиться: сформулировать вопросы, подлежащие выяснению, составить план допроса и определить соответствующую тактику его проведения, в случае необходимости проконсультироваться у специалиста.Необходимо отметить, что допрос родственников играет немаловажную роль в розыске скрывшегося подозреваемого, установления его материального состояния и источников финансового дохода. Здесь немаловажным обстоятельством является тщательное планирование указанного следственного действия. Это обусловлено, вопервых, нежеланиемродственниковосуществления уголовного преследования в отношении близкого им человека. Вовторых, допрос родственников сопряжен с раскрытием их личной, а в некоторых ситуацияхи интимной информации. Втретьих, в случае угрозы их экономическому благополучию следователь может ощутить серьезное противодействие с их стороны. Эффективным тактическим приемом,используемым при допросе родственников, является выстраивание односторонней отрицательной характеристики личности подозреваемого, которую допрашиваемый попытается поправить, дополнить. При этом следователь получит дополнительную информацию о связях преступника, его увлечениях, круге знакомых и другие сведения, которыемогутспособствовать установлению его местонахождения, мест сокрытия криминалистически значимой информации или денежных средств, полученных преступным путем, а также путей их легализации.Следственный эксперимент по делам указанной категории на практике проводится достаточно редко, что, возможно, обусловлено тем, что врамках его производствавряд ли возможно обнаружение имеющейся компьютерной информации, так как обнаружение и изъятие информации идет несколько вразрез с его целью. Однако в практике встречаются ситуации, когда в ходеследственного эксперимента создается новая информация, в том числе и компьютерная[4, с. 26]. Кроме того, проведение следственного эксперимента с участием подозреваемых дает возможность установить механизм события преступного посягательства, следообразования либо проверить истинные профессиональные навыки субъекта. Так, подозреваемому могут быть предоставлены все предметы,необходимые для воспроизведения преступных действий, с требованием продемонстрировать свои умения и навыки и, соответственно, подтверждения своих показаний. В случае неуспешных действий подозреваемого можно сделать вывод о самооговоре и противодействии следствию, выражающемуся в сокрытии истиной информации. Таким образом, можно установить истинного исполнителя или организатора преступной деятельности.Настоящие рекомендации, конечно же, не претендуют на исчерпывающий характер, и тем более не могут быть универсальным ключом к раскрытию каждого преступления, связанного с использованием компьютерных технологий. Однако автор надеется, что использование следователями и оперативными работниками материалов данной статьи позволит им оптимизировать процесс организации раскрытия и расследования указанных посягательств. Также авторбудет признателен всем читателям, которые выскажут критические замечания по изложенному материалу, для совершенствования предложенного исозданияпоследующих научных продуктов.
ССЫЛКИ НА ИСТОЧНИКИ1.Вехов В.Б. Осмотр документа на машинном носителе // Уголовный процесс.–2005.–
№ 1.2.С.Н. Вязов, О.Г. Григорьев Особенности обнаружения и изъятия компьютерной информации, обладающей доказательственным значением при расследовании уголовных дел// Тюмень: ТЮИ МВД России. –2006.3.Уголовнопроцессуальный кодекс Российской Федерации: утв. ФЗ от 18 декабря 2001 г. № 177ФЗ. [Электронный ресурс]. СИПС «Консультант Плюс». 4.С.Н. Вязов, О.Г. Григорьев Указ. соч.
Pimonov Boris Viktorovichcandidate of jurisprudence, senior teacher of chair of the organization of investigation of crimes and judicial examinations of Tyumen Institute of Professional Development of Staff of the Ministry of Internal Affairs of Russia, Tyumen region, TyumenEmail: bvpimonov@bk.ru
Organizational and tactical features of investigation of the crimes committed with use of computer technologies
Abstract: In article, on the basis of the conducted research, the algorithm of realization of tactical operations on criminal cases about the crimes committed withuse of computer technologies is offered. Features of tactics of investigative actions for thiscategory of criminal encroachments are opened.Keywords:tactical operation, computer information, computer technologies, tactics of investigative actions, scene survey, search, interrogation.