ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ
КИЇВСЬКИЙ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ
імені ТАРАСА ШЕВЧЕНКА
БІЛОУСОВ АНДРІЙ СЕРГІЙОВИЧ
УДК 343.977
КРИМІНАЛІСТИЧНИЙ АНАЛІЗ ОБ’ЄКТІВ
КОМП’ЮТЕРНИХ ЗЛОЧИНІВ
Спеціальність: 12.00.09 – кримінальний процес та криміналістика;
судова експертиза
АВТОРЕФЕРАТ
дисертації на здобуття наукового ступеня
кандидата юридичних наук
Київ – 2008
Дисертацією є рукопис.
Робота виконана на кафедрі кримінального процесу та криміналістики Класичного приватного університету.
Науковий керівник:
кандидат юридичних наук, доцент, заслужений юрист України
Красюк Іван Прокопович,
начальник Державного науково-дослідного експертно- криміналістичного центру МВС України.
Офіційні опоненти:
доктор юридичних наук, професор, заслужений юрист України
Іщенко Андрій Володимирович,
Київський національний університет внутрішніх справ,
професор кафедри криміналістики;
кандидат юридичних наук, доцент
Колесник Валерій Аркадійович,
Національна академія Служби безпеки України,
професор кафедри криміналістики.
Захист відбудеться “23” червня 2008 р. о 10 год. на засіданні спеціалізованої вченої ради Д 26.001.05 у Київському національному університеті імені Тараса Шевченка (01033, м. Київ, вул. Володимирська, 60).
З дисертацією можна ознайомитися у бібліотеці Київського національного університету імені Тараса Шевченка (01033, м. Київ, вул. Володимирська, 58).
Автореферат розісланий “20” травня 2008 р.
Вчений секретар
спеціалізованої вченої ради Н.П. Сиза
ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ
Актуальність теми. Завдяки стрімкому розвитку науково-технічного прогресу, інформатизації та комп’ютеризації всіх сфер життєдіяльності суспільства, отримання, обробка, зберігання та передача інформації є життєво необхідним для економіки держави, військово-промислового комплексу, стратегічних питань геополітики, екології, торгівлі, культури тощо. Саме тому протиправне використання електронно-обчислювальної техніки, інформації, що циркулює в ній, та мереж передачі такої інформації й становить неабияку суспільну небезпеку. З урахуванням того, що злочини, вчинені з використанням ЕОМ, систем та комп’ютерних мереж і мереж електрозв’язку, можуть дезорганізувати державне управління, фінансову систему, завдати іншої істотної шкоди безпеці держави, а також порушити права й законні інтереси громадян, комп’ютерна злочинність визначена у ст.7 Закону України від 19.06.2003 р. № 964-IV “Про основи національної безпеки України” як загроза національним інтересам і національній безпеці нашої держави в інформаційній сфері. Розвиток інформаційних технологій, а отже і зростання кількості комп’ютерних злочинів, є наслідками процесів глобалізації, насамперед, економічної та інформаційної сфери, тобто це об’єктивно існуюча закономірність, вплив на яку державних інструментів є мінімальним.
Про стурбованість провідних країн світу збільшенням кількості комп’ютерних злочинів та зростанням їх суспільної небезпеки, їх підвищену увагу до такого негативного явища міжнародного характеру, як комп’ютерна злочинність, свідчить підписання в листопаді 2001 року в м. Будапешті 43 державами “Конвенції про кіберзлочинність”. До цієї Конвенції в 2005 році приєдналася й Україна.
Питанням виявлення й розслідування злочинів в сфері інформаційних, високих, комп’ютерних технологій присвятили свою увагу відомі фахівці в галузі криміналістики, кримінального права, кримінології як в нашій країні, так і в ближньому та дальньому зарубіжжі. Зокрема ці питання стали предметом окремої уваги Д. Азарова, Ю. Батуріна, П. Біленчука, В. Вертузаєва, В. Вєхова, В. Гавловського, Ю. Гавриліна, В. Голубєва, М. Гуцалюка, М. Дворецького, А. Іщенка, Р. Калюжного, В. Крилова, М. Лисова, О. Мотлях, В. Мещерякова, А. Нехорошева, В. Польового, Л. Паламарчук, В. Рогозіна, Б. Романюка, О. Росинської, І. Туркевич, А. Усова, В. Цимбалюка та багатьох інших науковців. Проте глибокого криміналістичного аналізу комп’ютерних об’єктів та їх впливу на тактику проведення окремих слідчих дій і організації розслідування справ цієї категорії до сьогодні не здійснено. Окрім того, багатоаспектність такої важливої в криміналістичному розумінні теми зумовлює потребу подальших наукових пошуків у цьому напрямі. Це й зумовило вибір теми дисертації та основних питань дослідження.
Зв’язок роботи з науковими програмами, планами, темами. Дисертація виконана відповідно до пріоритетних напрямів наукових та дисертаційних досліджень МВС України, які потребують першочергового розроблення і впровадження у практичну діяльність органів внутрішніх справ на період 2004-2009 років, затверджених наказом МВС України від 05.07.2004 р. № 755. Тема дисертації затверджена рішенням Вченої Ради Гуманітарного університету “ЗІДМУ” (протокол № 1 від 27.09.2005р.).
Мета і завдання дослідження. Метою дисертаційного дослідження є пізнання закономірностей об’єктивної дійсності, пов’язаних із підготовкою, вчиненням та розслідуванням злочинів в сфері інформаційних (комп’ютерних) технологій, що передбачає визначення поняття й структури комп’ютерних об’єктів як об’єктів криміналістичних досліджень, теоретичних передумов і практичних рекомендацій з підготовки й проведення окремих слідчих дій при розслідуванні комп’ютерних злочинів.
Для досягнення зазначеної мети були поставлені й розв’язані в ході дослідження такі завдання:
- виокремити й визначити криміналістичні аспекти вивчення комп’ютерних об’єктів за справами про злочини в сфері інформаційних технологій;
- розробити криміналістичну характеристику слідів, яка б відображувала закономірності злочинів, які вчиняються з використанням комп’ютерної техніки та інформаційних технологій;
- розкрити сутність й зміст використання спеціальних знань в галузі комп’ютерних технологій в разі проведення слідчих дій в ході розслідування комп’ютерних злочинів;
- визначити особливості тактики пошуку інформації у комп’ютері, системі та мережі з урахуванням властивостей комп’ютерних об’єктів;
- обґрунтувати необхідність формування методик експертного дослідження комп’ютерних об’єктів та розроблення рекомендацій щодо проведення комплексних досліджень таких об’єктів.
Об’єктом дослідження є теорія й практика виявлення, розслідування й розкриття злочинів в сфері інформаційних технологій, що вчинені з використанням засобів комп’ютерної техніки.
Предметом дослідження є криміналістичний аналіз об’єктів комп’ютерних злочинів.
Методи дослідження. Методи дослідження обрані з урахуванням поставленої мети, його об’єкта та предмета. Методологічною основою роботи є наукова теорія пізнання та напрацьовані на її основі загальнонаукові й спеціальні методи пізнання, зокрема, системно-структурний, логіко-юридичний, що застосовувалися для аналізу матеріалів кримінальних справ про вчинені комп’ютерні злочини і розроблення рекомендацій щодо застосування криміналістичних засобів і методів з метою виявлення, розкриття й розслідування комп’ютерних злочинів, порівняльно-правовий з метою дослідження поняття комп’ютерного злочину у вітчизняному кримінальному законодавстві, а також відповідних кримінально-правових норм і в інших зарубіжних країнах. Використання структурно-функціонального аналізу як методу дослідження дало змогу дослідити зовнішні та внутрішні зв’язки комп’ютерних об’єктів, що пов’язані із вчиненням злочину, простежити їх динаміку та взаємодію при вивченні слідів, що є характерними для злочинів цієї категорії. Методи спостереження, аналізу результатів діяльності експертно-криміналістичних та слідчих підрозділів дали змогу вивчити зміст та сутність криміналістичних об’єктів, їх місце в системі доказів у кримінальних справах. Також були використані закони й категорії, аналіз та синтез, узагальнення, абстракція. В дослідженні автор спирався на власний досвід роботи на посаді експерта-криміналіста та викладацької роботи у вищому навчальному закладі.
Наукова новизна одержаних результатів визначається насамперед постановкою і розглядом вперше в Україні на монографічному рівні комплексних питань криміналістичного аналізу комп’ютерних об’єктів в зв’язку з виявленням та розслідуванням злочинів у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж і мереж електрозв’язку. Наукову новизну результатів дослідження, що слугують теоретичною основою вирішення наукового завдання, можна конкретизувати у такому:
Вперше:
- на основі синтетичного підходу до криміналістичного аналізу комп’ютерних злочинів здійснено аналіз комп’ютерних об’єктів, пов’язаних із злочинним проявом, котрі дають можливість отримання даних щодо особи злочинця, способу, механізму, обстановки вчинення злочину, слідів як наслідків злочину та інших обставин вчиненого;
- виокремлено комп’ютерні об’єкти як різновид окремої групи речових доказів, специфіка яких зумовлена створенням, обробкою, накопиченням чи передачею інформації в її електронному вигляді, а також доведено, що такі об’єкти можуть бути речовими доказами у справі завдяки їх індивідуальним або системним властивостям;
- доведено, що комп’ютерні злочини характеризує сукупність матеріальних та ідеальних слідів, котрі розосереджені в часі і просторі та можуть не мати єдиного матеріального й ідеального носія, відбивати різні сторони дій причетних, так і непричетних до вчинення злочину осіб;
Дістало подальшого розвитку:
- вивчення специфічної віртуальної слідової картини, що відбивається в навколишньому середовищі, внаслідок вчинення комп’ютерних злочинів і уточнено поняття віртуального сліду як будь-якої зміни стану автоматизованої інформаційної системи, що викликана системою команд, пов’язана з подією злочину і зафіксована у вигляді комп’ютерної інформації на матеріальному носієві;
- розкриття сутності комп’ютерних об’єктів, більша частка яких стосується застосування інформаційних технологій і доведено, що вчинення комп’ютерних злочинів має на меті здійснення впливу на комп’ютерну інформацію за допомогою іншої комп’ютерної інформації, недосяжної для її безпосереднього сприйняття без застосування відповідної комп’ютерної техніки;
Додатково обґрунтовано:
- в межах вчення про криміналістичну характеристику злочинів доцільність розроблення криміналістичної характеристики комп’ютерних злочинів як міжвидової, що відображує закономірності злочинів, вчинених з використанням комп’ютерної техніки та інформаційних технологій;
- необхідність використання спеціальних знань в розслідуванні комп’ютерних злочинів і потребу в проведенні комплексних досліджень комп’ютерних об’єктів та доповнено перелік основних завдань, що ставляться перед спеціалістом в разі його участі у проведені слідчих дій в справах цієї категорії.
Практичне значення одержаних результатів. Основні положення дисертації можуть бути використані: у науково-дослідній роботі – для подальшої розробки науково-обґрунтованих положень та рекомендацій щодо вдосконалення тактики слідчих дій та методики розслідування злочинів у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж і мереж електрозв’язку; у практичній діяльності співробітників органів досудового слідства, суду та експертних підрозділів під час проведення досудового слідства й судового розгляду кримінальних справ про комп’ютерні злочини (акт про впровадження у діяльність експертно-криміналістичної служби результатів дисертаційного дослідження від 07.02.2008р.); для підвищення рівня кваліфікації слідчих і оперативних працівників органів внутрішніх справ у системі службової підготовки, у навчальному процесі юридичних вищих навчальних закладів та правових факультетів при викладанні курсу криміналістики, а також при підготовці відповідних розділів підручників, навчальних та методичних посібників, в яких розкриваються питання, що пов’язані з темою дослідження (акт про впровадження у навчальний процес Гуманітарного університету “ЗІДМУ” результатів дисертаційного дослідження від 15.01.2008р.).
Апробація результатів дисертації. Основні положення та висновки дисертації розглядалися на міжкафедральному засіданні кафедр кримінального процесу та криміналістики Гуманітарного університету “ЗІДМУ”, кримінального права та правосуддя Запорізького національного університету, криміналістики Запорізького юридичного інституту МВС України, а також були оприлюднені в доповідях і повідомленнях на науково-практичних конференціях, семінарах, зокрема, на 7 міжнародних: «Информационные Технологии и Безопасность – 2003» (Симферополь, Партенит, 2003г.); «Информационная безопасность – 2004» (Молдавская Экономическая Академия, 2004г.); «Информационные технологии и информационная безопасность в науке, технике и образовании «ИНФОТЕХ-2004»» (Севастополь, 2004 г.); «Проблемы противодействия компьютерной преступности» (Запорожье, 2004 г.); Дни науки в Гуманитарном университете «ЗИГМУ» (Запорожье, 2004 г.); Academia de studii economice a moldovei laboratorul de sekuritate informationala conferinta internationala securitatea informationala 2005 (Crisinau, 2005); «Наука и Образование» (Россия, г. Белово, 2006 г.); Запорізькі правові читання (Запоріжжя, 2006р.); «Інституціональні перетворення в суспільстві: Світовий досвід і українська реальність» (Мелітополь, 2006 р.).
Публікації. Наукові результати здійсненого дисертантом дослідження знайшли відображення у 12 наукових статтях, з яких – 4 у фахових виданнях та у 9 тезах виступів на наукових та науково-практичних конференціях.
Структура дисертації зумовлена метою, завданням та логікою дослідження. Робота складається з вступу, двох розділів, що включають десять підрозділів, висновків, списку використаних джерел і додатків. Загальний обсяг дисертації складає 245 сторінок, з яких основний текст – 217 сторінок, список використаних джерел (199 найменувань) – 19 сторінок, додатки (3) – 9 сторінок.
ОСНОВНИЙ ЗМІСТ РОБОТИ
У вступі обґрунтовується актуальність теми, визначаються об’єкт, предмет, основна мета і конкретні завдання дослідження, методологічна основа роботи, розкривається її зв’язок з науковими програмами, планами, темами; окреслено наукову новизну одержаних результатів, їх теоретичне і практичне значення, рівень апробації результатів, кількість публікацій за результатами дисертаційного дослідження.
Розділ перший “Комп’ютерні об’єкти та їх криміналістичне значення” присвячено аналізу поняття комп’ютерного злочину, комп’ютерних об’єктів та їх місця в криміналістичній характеристиці злочинів, розкрито особливості слідоутворення при вчинені злочинів у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж і мереж електрозв’язку.
У підрозділі 1.1. "Вчинення злочинів в сфері інформаційних технологій та поняття їх криміналістичного аналізу" зазначається, що в науковій літературі злочини, що вчиняються з використанням комп’ютерних засобів і систем, часто прийнято називати „комп’ютерними злочинами”, до того ж цю дефініцію потрібно вживати не в кримінально-правовому аспекті, оскільки це лише ускладнює кваліфікацію діяння, а в криміналістичному, тому що вона пов’язана не з кваліфікацією, а власне із способом вчинення і приховування злочину і, відповідно, з методикою його розкриття й розслідування.
Комп’ютерні злочини мають місце лише тоді, коли: з одного боку, комп’ютерна інформація є предметом посягання; з іншого боку, комп’ютерна інформація та засоби комп’ютерної техніки виступають у вигляді специфічного знаряддя злочину або його складової частини, без чого неможливе вчинення злочину. Загальним об’єктом зазначених злочинів є суспільні відносини в сфері забезпечення інформаційної безпеки, а до безпосередніх об’єктів злочинного посягання відносять: інформаційні бази комп’ютерних систем або мереж, їх окремі файли, а також комп’ютерні технології і програмні засоби їх забезпечення, зокрема й засоби захисту комп’ютерної інформації. Розв’язання криміналістичних проблем тісно пов’язане із здійсненням поглибленого криміналістичного аналізу правопорушень у сфері використання комп’ютерних технологій. Такий аналіз дає змогу всебічно вивчити різноманітні прояви цього явища, встановити ознаки, що свідчать як про факт вчинення чи підготовки до вчинення злочину, так і про причетність до цього конкретних винуватців та роль кожного у вчиненому злочині й ґрунтується на концепції, згідно з якою кожний злочин правомірно розглядати як певну систему – сукупність взаємопов’язаних елементів, що мають внутрішній і зовнішній зв’язки. Доцільно вести мову не про підвиди, а про аналіз складових злочинної діяльності та її наслідків, а також супутніх обставин, дослідження криміналістичних ознак має значення для виявлення, розкриття й розслідування злочину з використанням засобів і методів криміналістики. В методиці розслідування комп’ютерних злочинів важливе значення має криміналістичний аналіз об’єктів цих злочинів, специфіка яких зумовлює й особливості методики розслідування. Слід звертати увагу на комп’ютерні об’єкти, що стосуються вчинення злочину.
У підрозділі 1.2. "Поняття комп’ютерних злочинів та їх кримінально-правова характеристика" звертається увага на те, що науковці й практики називають злочини цієї категорії по-різному: „комп’ютерними”, „кіберзлочинами”, „інформаційними”, „злочинами в сфері комп’ютерних технологій” тощо. Багато в чому непорозуміння виникають тоді, коли йдеться про використання із злочинною метою комп’ютерної інформації, оскільки й до поняття „інформації” у дослідників існують різні підходи. Особливістю комп’ютерної інформації є те, що вона знаходиться в окремому файлі або базі комп’ютерних даних і зберігається на матеріальних носіях та має свої ідентифікаційні атрибути. Отже, засоби комп’ютерної техніки є водночас і засобами створення, зберігання та обробки інформації. Особливістю таких злочинів є те, що комп’ютер в них може виступати одночасно як предмет посягання і як знаряддя вчинення злочину.
В кримінально-правовому розумінні варто вести мову про злочини в сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж і мереж електрозв’язку, що й визначено вітчизняним законодавцем в КК України, проте, в разі розслідування таких злочинів мова повинна йти про використання цих електронно-обчислювальних засобів не просто як технічних пристосувань чи фізичних об’єктів, а саме для маніпулювання комп’ютерною інформацією. Вчинення таких злочинів здійснюється за допомогою комп’ютерних технологій, а тому зрозумілим є використання терміносполучення „комп’ютерний злочин”, яке слід застосовувати як узагальнюючий термін для позначення ним певних злочинних діянь, що підпадають під ознаки злочинів, відповідальність за які передбачена розділом XVI КК України. Визначаючи кримінально-правову кваліфікацію комп’ютерних злочинів, варто спиратися на загальновизнаний підхід вчених, сутність якого полягає у визначенні поняття загального, родового (видового) та безпосереднього об’єкта злочину, враховуючи при цьому, що віднесені лише до певного чи іншого родового об’єкта характеристики істотно впливають на відповідну кваліфікацію злочинів.
У підрозділі 1.3. "Поняття й сутність комп’ютерних об’єктів" зазначається, що розслідування злочинів цієї категорії завжди пов’язане з дослідженням специфічних об’єктів, які мають безпосереднє відношення до створення, обробки, використання інформації за допомогою засобів електронно-обчислювальної техніки та цифрового зв’язку. Правильне розуміння змісту застосованих понять дає можливість правильно визначитися із призначенням, значимістю та значенням кожного з об’єктів, що використанні злочинцем або є предметом його посягання чи допоміжними засобами у вчиненні злочинів. У цьому підрозділі проаналізовані різні підходи законодавця, вчених та практиків з приводу визначення поняття "документ", акцентуючи увагу на потребі єдиного розуміння документу, що виготовлений із застосуванням комп’ютерної техніки. На думку автора, в інформаційному розумінні електронний документ не відрізняється від інших, але без застосування апаратних і програмних засобів не можна отримати відомостей щодо змісту цього документа. Тому його можна назвати документом у загальному розумінні тоді, коли людина може сприйняти і зрозуміти його зміст.
Під час проведення слідчих дій можуть бути виявлені різноманітні комп’ютерні об’єкти, фізичні властивості яких сприймаються зором, але на відміну від інших предметів матеріального світу таким способом встановити значимість предмета для доказування у справі не можливо. Для сприйняття інформації, що зберігається в комп’ютерних об’єктах або для визначення їх здатності до створення чи оперування інформацією, потрібне проведення специфічних досліджень. Тобто, в разі розв’язання питання щодо визнання комп’ютерного об’єкта речовим доказом, потрібне застосування спеціальних апаратно-програмних комп’ютерних засобів і відповідних комп’ютерних методик, і лише їх застосування дасть можливість правильно сприйняти та оцінити сутність, значимість, належність до справи таких об’єктів. З огляду на специфіку таких об’єктів, пов’язану з природою їх походження, варто вести мову про комп’ютерні об’єкти як різновид предметів матеріального світу, що можуть бути речовими доказами, тому запровадження такої категорії об’єктів в криміналістику й теорію кримінального процесу є своєчасним і відповідає реаліям сьогодення.
Підрозділ 1.4. "Місце комп’ютерних об’єктів в криміналістичній характеристиці злочинів" присвячено розгляду місця комп’ютерних об’єктів у структурі криміналістичної характеристики злочину. До змісту криміналістичної характеристики комп’ютерних злочинів, як практичного інструменту розслідування, необхідно відносити тільки ті елементи, котрі відрізняються чіткою розшуковою спрямованістю і дають змогу встановити важливі для розслідування факти за ознаками, що мають криміналістичне значення. Стосовно криміналістичної характеристики комп’ютерних злочинів, варто звернути увагу на те, що різні злочини, які вчиняються із використанням комп’ютерної техніки, відрізняються різноманіттям їх підготовки, вчинення, а також приховування слідів і відносяться до різних видів злочинів, що мають власні криміналістичні характеристики. У випадку розслідування комп’ютерних злочинів доцільно вести мову про міжвидову криміналістичну характеристику, що відображує закономірності злочинів, які вчиняються з використанням комп’ютерної техніки та інформаційних технологій. Основними елементами цієї криміналістичної характеристики, що власне і характеризують особливості злочинів, вчинених з використанням комп’ютерної техніки, є комп’ютерні об’єкти та специфічна віртуальна слідова картина, що відбивається на апаратних, програмних чи інформаційних елементах комп’ютерних об’єктів. У разі вчинення злочинів із використанням інформаційних технологій, їх сліди мають істотні особливості, пов’язані з тим, що вчинення злочину у більшості випадків мету впливу на комп’ютерну інформацію. Вчинення таких злочинів пов’язане з використанням великого різноманіття носіїв комп’ютерної інформації, що мають різну природу – пам’ять комп’ютера, лінії електрозв’язку, роздруківки матеріалів з принтера тощо, для роботи з якими потрібні різноманітні технічні засоби, а в багатьох випадках – ще й навички та спеціальні знання.
Виокремлення слідів такого роду в самостійну групу як окремих об’єктів пов’язана з особливістю протиправних дій з комп’ютерною інформацією, що полягає в тому, що місце вчинення безпосередніх протиправних дій і місце, де наступають наслідки злочину і де вони можуть бути виявлені, можуть перебувати на досить таки великій відстані одне від одного, наприклад, в різних приміщеннях однієї організації, в різних містах однієї країни і навіть в різних країнах чи й континентах. Поняття віртуального комп’ютерного об’єкта відповідає поняттю слідоутворюючого об’єкта.
Підрозділ 1.5. "Особливості механізму слідоутворення при вчиненні комп’ютерних злочинів" присвячено розгляду істотних моментів в утворенні слідів комп’ютерних злочинів і характеристик, якими наділені комп’ютерні об’єкти як слідоутворюючі та слідосприймаючі об’єкти. Так, слідоутворюючим об’єктом може виступати "віртуальний" об’єкт як система команд ЕОМ. Введення поняття віртуального слідоутворюючого об’єкта для криміналістичної класифікації слідів комп’ютерних злочинів є доцільним і зумовлено тим, що система команд ЕОМ, спрямованих на створення і модифікацію файлів, є наслідком впливу як користувача, так і технологічних процесів, що викликані апаратним або програмним забезпеченням ЕОМ без участі людини. Такі сліди мають істотні особливості, які дають всі підстави їх виокремлення в самостійну групу. Віртуальні сліди існують об’єктивно на матеріальних носіях, але не доступні для безпосереднього сприйняття. Для їх сприйняття потрібне обов’язкове застосування програмно-технічних засобів, отже наявність таких слідів на матеріальному носієві наближує цю групу до матеріальних слідів, але не робить їх такими. Отримані з матеріального носія і сприйняті віртуальні сліди внутрішньо не надійні завдяки природі їх існування, тому що їх можна неправильно прочитати, наприклад, застосувавши інші програмно-технічні засоби, легко підробити, легко втратити. Це близько до суб’єктивного сприйняття і наближає такі сліди до ідеальних, але не може бути ототожненим з останніми. Віртуальні сліди зберігаються в ідеальному вигляді, але не в пам’яті людини, а в машинній пам’яті і на матеріальних носіях машинної інформації, їх виявляють з використанням технічних засобів у відповідності до певних алгоритмів.
Виникнення слідів на фізичному рівні подання інформації викликане фізичним впливом апаратних комп’ютерних об’єктів – проходженням електричного струму, намагнічуванням або розмагнічуванням певних ділянок магнітного носія в результаті дій злочинця. Ці сліди невидимі, зовнішнього прояву на апаратних елементах комп’ютерних об’єктів вони не мають. Виявити й зафіксувати, а так само вилучити й дослідити їх можна тільки з застосуванням комп’ютерних апаратних пристроїв та програмних засобів. З криміналістичної точки зору значний інтерес викликає розгляд механізму слідоутворення на логічному рівні надання інформації. Логічний рівень надання інформації є рівнем існування програмних засобів і на цьому рівні виникнення слідів викликано програмними елементами комп’ютерних об’єктів. У результаті такого впливу на слідосприймаючому об’єкті будуть відбиватися результати дії алгоритму відповідної програми або сукупності програм як слідоутворюючого об’єкта. При цьому програмні засоби мають ту властивість, що в результаті виконання алгоритму вони також отримують відповідні сліди цього впливу.
В цьому підрозділі розглянуті також окремі способи вчинення комп’ютерних злочинів та особливості механізму слідоутворення залежно від обраного злочинцем способу вчинення злочину.
Розділ другий "Вплив властивостей комп’ютерних об’єктів на підготовку й проведення окремих слідчих дій" присвячено проблемним питанням проведення окремих слідчих дій та застосування спеціальних знань під час розслідування комп’ютерних злочинів, зумовлених особливостями комп’ютерних об’єктів.
У підрозділі 2.1. "Властивості комп’ютерних об’єктів та їх значення для підготовки й проведення слідчих дій" визначено окремі властивості комп’ютерних об’єктів, які впливають на підготовку й проведення слідчих дій. Під час розслідування злочинів, що вчинені з використанням комп’ютерів, систем та іншої електронної техніки слідчий має справу як з традиційними для криміналістики, так і з нетрадиційними слідами злочинної діяльності та речовими доказами. Саме тому за справами цієї категорії під час провадження окремих слідчих дій доводиться шукати, фіксувати й досліджувати специфічні об’єкти криміналістичних досліджень, якими є комп’ютерні об’єкти та комп’ютерна інформація. Узагальнення досвіду розслідування комп’ютерних злочинів дає підстави стверджувати, що тактика розслідування таких злочинів будується насамперед, на подоланні інтелектуальної протидії з боку злочинців. Комп’ютерні злочини – це завжди вчинення злочинних дій в сфері високих інформаційних технологій особами, які у більшості випадків мають спеціальну підготовку та багатий практичний досвід роботи з комп’ютерною інформацією чи те й інше разом. Важливою вимогою є потреба використання слідчим спеціальних знань, а інколи – навіть обов’язковість залучення спеціалістів в галузі високих технологій при підготовці й проведенні слідчих дій та фіксації їх результатів. Спеціаліст, якого слідчий запрошує для участі в проведенні слідчих дій за справами про комп’ютерні злочини, повинен мати доскональні знання операційних систем, під керуванням яких функціонує конкретна обчислювальна система, та іншого програмного забезпечення, що задіяне в цій системі. За певних ситуацій він додатково повинен добре орієнтуватися в різних специфічних питаннях, зокрема, в особливостях експлуатації мережного обладнання, в процедурах шифрування, надання доступу і збереження інформації тощо. Завдання спеціаліста полягає в тому, щоб на підставі своїх знань він надавав сприяння слідчому у виявленні й вилученні слідів злочину, предметів та документів, що можуть бути речовими доказами у справі. Поінформованість слідчого щодо характеристики комп’ютерних об’єктів, з якими він матиме справу під час проведення слідчої дії, веде до ефективного і раціонального пошуку доказів, дає змогу уникнути можливої втрати або псування слідів злочину в інформаційному масиві комп’ютера, системи чи мережі.
У підрозділі 2.2. "Слідчий огляд в справах про комп’ютерні злочини" акцентується увага на тому, що загальні та окремі тактичні вимоги щодо проведення слідчого огляду наповнюються істотними особливостями в разі огляду комп’ютерних об’єктів. Основна складність полягає в тому, що огляд комп’ютерних об’єктів не охоплюються традиційним розумінням слідчого огляду. Відмінною особливістю огляду таких об’єктів як системні блоки електронно-обчислювальних машин, комп’ютерні програми, інформація, що міститься на магнітних, оптичних носіях тощо є те, що їх не можна оглянути і сприйняти безпосередньо всіма учасниками огляду, як це передбачено завданнями проведення слідчого огляду. Для сприйняття властивостей окремих комп’ютерних об’єктів потрібно здійснити доступ до них шляхом використання спеціальних технічних пристроїв з відповідним програмним забезпеченням. При цьому слідчий в присутності понятих не просто спостерігає за комп’ютерним об’єктом, а повинен сам або за допомогою спеціаліста ввести певні команди, і лише після цього буде отримана інформація, яка й розкриє та зробить доступною для сприйняття властивість комп’ютерних об’єктів.
Проведення огляду місця події у справх про комп’ютерні злочини підпорядковане загальним тактичним правилам, проте існують і суттєві відмінності, що зумовлюють специфіку цієї слідчої дії. Саме ця слідча дія сприяє розв’язанню низки важливих питань: на якому об’єкті (на якому конкретно комп’ютері, в якому структурному підрозділі установи) сталася подія; до якого виду можна віднести комп’ютерний злочин, що має місце; яким способом вчинено злочин; які сліди, чи інші речові докази вказують на причетність до злочину певної особи; яким є на час огляду стан засобів захисту інформації, охорони приміщень, обладнання та низка інших питань. Завданнями слідчого щодо вибору понятих для участі в проведенні огляду місця події є підбір їх з числа тих осіб, котрі мають хоча б елементарні уявлення про роботу з засобами комп’ютерної техніки. Водночас недоцільно залучати в якості понятих для участі у проведенні огляду місця події співробітників чи керівників тих структурних підрозділів установи, організації, де було вчинено комп’ютерний злочин.
Окремі вимоги варто висувати щодо складу слідчо-оперативної групи, яку повинен очолювати слідчий, який спеціалізується на розслідуванні кримінальних справ цієї категорії. До складу групи має входити оперативний працівник підрозділу боротьби із злочинами в сфері комп’ютерних технологій та оперативний працівник, якому ввірена територія або об’єкт, який є місцем події. З огляду на специфіку об’єктів, що мають бути оглянуті в ході слідчої дії, кількість спеціалістів не повинна обмежуватися лише спеціалістом-криміналістом, до завдань якого входитиме надання допомоги у виявленні та фіксації слідів. Слідчо-оперативну групу може бути підсилено спеціалістом в сфері інформаційних технологій, допомога якого полягатиме в роботі з комп’ютерними об’єктами. В разі складного і багатооб’єктного місця події, де відбуваються динамічні зміни в обстановці, обов’язки з відео документування чи фотозйомки варто покласти на спеціально залученого для цього криміналіста. До специфічних завдань огляду місця події можна віднести огляд і вилучення документів та інформації з автоматизованих охоронних систем відеоспостереження й контролю доступу до місця події та до електронно-обчислювальних машин, а також пошук, виявлення, огляд, фіксацію і вилучення в разі наявності такої потреби спеціальних технічних пристроїв, що призначені або пристосовані й запрограмовані для негласного отримання, знищення, копіювання чи модифікації або блокування комп’ютерної інформації.
У підрозділі 2.3. "Обшук та виїмка комп’ютерних об’єктів" розкриваються ті положення, що певною особливістю об’єктів пошуку в разі проведення обшуку та виїмки є те, що доволі часто таким об’єктом є не тільки технічний пристрій чи матеріальний носій комп’ютерної інформації, якими можуть бути жорсткий диск комп’ютера, дискета, оптичний диск, флеш-карта тощо, а й інформація, яка зберігається на них і яка власне й є основним об’єктом пошуку та вилучення з метою встановлення обставин вчинення комп’ютерного злочину. Місцем проведення слідчої дії в такому разі виступатиме не просто приміщення, в якому є носій комп’ютерної інформації, а приміщення, технічний засіб та інформаційний масив конкретного комп’ютерного об’єкта. Наявність фактичних підстав вважати, що певні дані присутні в конкретному місці, на конкретному носієві і що ці дані здатні стати доказами у справі про вчинення комп’ютерного злочину і є необхідною умовою проведення обшуку та виїмки. Вилучення комп’ютерних об’єктів, що містять інформаційні дані, може здійснюватися по-різному. Можуть бути вилучені носії інформації або навіть комп’ютерна система загалом чи окремі її частини якщо дані не можуть бути доступі для їх копіювання або вивчення на іншому обладнанні. Для відновлення таких даних потрібні спеціальні програми, інколи – додаткове обладнання, а сам процес відновлення може займати багато часу. У цих випадку здійснювати фактично дії з дослідження програмного продукту під час проведення обшуку або виїмки не доцільно. За певних обставин можна визнати припустимим вилучення даних шляхом їх копіювання на окремі носії інформації. В таких випадках необхідно здійснити спеціальні заходи, що забезпечують цілісність і збереження вилучених даних, а використані для копіювання носії не повинні містити жодної інформації. Не доцільно здійснювати копіювання вилученої інформації на носії, що містять навіть таку інформацію, яка стосується цієї справи і навіть, якщо ця інформація ідентична повністю або містить фрагменти тієї, котра підлягає вилученню. Повинні бути створені умови та гарантії ідентичності копії оригіналу на момент провадження обшуку або виїмки та надійності її зберігання протягом всього часу розслідування.
Не варто обмежуватися пошуком інформації тільки в комп’ютері або на певному магнітному носієві, який виявлено в приміщенні. Слід ретельно вивчити наявну документацію, різноманітні записи, які можуть містити програми, паролі, відомості щодо змін в конфігурації системи, особливостей побудови інформаційної бази комп’ютера тощо. Враховуючи специфіку об’єктів, де будуть здійснюватися пошукові дії у справах про комп’ютерні злочини, загальне правило щодо присутності обшукуваної особи повинно стосуватися не тієї особи, яка займає приміщення, а тієї, яка є власником або законним користувачем засобів комп’ютерної техніки. Адже пошукові дії здійснюватимуться окрім території приміщення на "специфічній території", якою є інформаційний масив комп’ютера. Пропозиція слідчого видати добровільно зазначені в постанові предмети або документи повинна враховувати ту обставину, що власноручне відкриття файлу особою, яку обшукують, може призвести до втрати потрібних слідчому даних. На знищення інформації, яка знаходиться у файлі зловмиснику потрібен час від декількох хвилин до секунд і на припинення цього шкідливого процесу слідчий не матиме часу. Тому треба пропонувати вказати місце зберігання та порядок доступу до інформаційних даних, які підлягають вилученню в результаті обшуку чи виїмки. І навіть після цього доступ до інформації повинен здійснити залучений слідчим спеціаліст із дотриманням відповідних правил, що унеможливлюють знищення або спотворення інформації, адже і вказаний підозрюваним або іншою особою шлях доступу до інформації може містити приховані способи її знищення.
"Електронна поштова скринька" – це умовна назва для позначення комп’ютерного файлу, в якому накопичується електронна інформація і доступ до такої інформації відрізняється за сутністю від доступу до звичайної кореспонденції поштового закладу. Правила щодо порядку накладання арешту та виїмки поштово-телеграфної кореспонденції з висуненням відповідних вимог до власника чи керівника установи зв’язку не можуть розповсюджуватися на власника чи користувача електронної поштової скриньки, кореспонденція в яких істотно відрізняється від традиційної поштової.
Підрозділ 2.4. "Допит осіб в справах під час розслідування комп’ютерних злочинів" присвячено розгляду питань щодо особливостей допиту осіб різних категорій, спільною ознакою яких є врахування в тактиці й порядку допиту особливостей комп’ютерних об’єктів. Характерним для справ цієї категорії є те, що в ході проведення допиту слідчим повинна бути отримана інформація, яка стосується предмету доказування у кримінальній справі, що має специфічний характер з огляду на те, що об’єктом злочинів, котрі вчиняються з використанням комп’ютерної техніки та інформаційних технологій, є правовідносини з приводу володіння, користування й розпорядження комп’ютерною інформацією. У разі розслідування злочинів, при вчиненні яких використовувалася комп’ютерна техніка, переважна частина інформації, що стосується предмету допиту, має спеціальний характер, пов’язаний із дослідженням сфери інформаційних технологій, і тому до завдань підготовки до проведення допиту слід віднести і з’ясування слідчим всіх питань, котрі стосуються загальних принципів функціонування комп’ютерних об’єктів. Великого значення набуває проблема об’єктивізації вербальної інформації, яку отримує слідчий. Одним із шляхів її розв’язання є використання спеціальних знань для уточнення змісту повідомленої інформації. Таке уточнення потрібне для індивідуалізації ознак комп’ютерних об’єктів, роз’яснення особливостей тих процесів і механізмів дій, про які повідомляє допитуваний.
Для з’ясувння необхідних обставин можуть бути допитані особи зі складу технічного персоналу організації та її керівного складу, розробники відповідних систем, оператори, користувачі, адміністратори автоматизованої системи, програмісти, інженери зв’язку, спеціалісти із створення й обслуговування систем захисту інформації, а також інші особи, що мали доступ до конкретного комп’ютера, комп’ютерної мережі чи автоматизованої системи. Загальна тактична вимога щодо проведення допиту – індивідуальний підхід до кожної особи, індивідуальний перелік питань, які підлягають з’ясуванню під час допиту кожного з підозрюваних.
У підрозділі 2.5. "Судові експертизи при розслідуванні комп’ютерних злочинів" йдеться про те, що за справами цієї категорії може виникнути потреба у проведенні найрізноманітніших судових експертиз, це й трасологічні з метою ідентифікації знарядь зламу за залишеними слідами, і дактилоскопічні з метою ідентифікації особи, що залишила відбитки пальців на місці події, і почеркознавчі рукописних записів на носіях комп’ютерної інформації чи з метою дослідження нотаток з описуванням комп’ютерних програм, технічні експертизи документів з метою встановлення друкуючого пристрою, на якому виготовлені роздруківки комп’ютерної інформації, і судові експертизи речовин, матеріалів та виробів з метою встановлення барвника, котрим виконані записи тощо. Особливими й недостатньо вивченими є судові експертизи, котрі призначаються з метою дослідження комп’ютерних об’єктів. Специфіка об’єктів досліджень зумовлює окремий порядок їх підбору, підготовки, зберігання, направлення на дослідження та самого проведення експертних досліджень і застосовуваних з цією метою методик. Адже об’єкт експертизи є невід’ємною і визначальною ознакою видової належності судово-експертного дослідження, важливим джерелом відомостей про ті чи інші події. Сьогодні цілком виправданим і загально прийнятим вважають застосування поняття судова експертиза комп’ютерної техніки і програмних продуктів, родовим предметом якої є факти та обставини, що встановлюються на підставі дослідження закономірностей розробки і експлуатації комп’ютерних засобів, котрі забезпечують реалізацію інформаційних процесів та зафіксовані в матеріалах справи. Це самостійний рід судових експертиз, що відноситься до класу інженерно-технічних і проводиться з метою визначення статусу об’єкта як комп’ютерного засобу, виявлення й вивчення його слідової картини в злочині, що розслідується, а також отримання доступу до інформації на носіях даних з наступним всебічним її дослідженням. Всі об’єкти СКТЕ можна умовно поділити на три класи – клас апаратних об’єктів, клас програмних та клас інформаційних об’єктів (даних). Така видова класифікація повністю враховує відмінності в спеціальних знаннях, що потрібні для дослідження об’єктів, які відносяться до різних видів судової комп’ютерно-технічної експертизи.
Призначення експертизи певного роду або виду значною мірою залежить від того, який саме комп’ютерний об’єкт має в своєму розпорядженні слідчий і які завдання він ставить перед експертом. Можливим є призначення тільки техніко-криміналістичної експертизи документів, якщо для інтересів справи достатнім буде визначити клас друкуючого пристрою або його конкретний екземпляр, а документ, що виготовлений із застосуванням комп’ютерної техніки, має яскраво виразні індивідуальні ознаки друкуючого пристрою. Дослідження ознак програмного забезпечення принтера також можливе в межах технічної експертизи документів, якщо вивченню підлягають саме технічні властивості слідоутворюючого об’єкта при відтворенні зображення на друкарській основі. Залучення експертів декількох спеціальностей в разі проведення комплексних досліджень комп’ютерних об’єктів зумовлене і потребою застосування сучасної складної апаратури та приладів. Комплексні експертизи призначають в разі наявності в досліджуваному об’єкті різноманітних слідів, зумовлених складною система інформаційних полів. Синтез спеціальних знань з різних експертних спеціальностей можливий за наявності суміжних галузей знань, котрі пов’язані або загальними методами дослідження, або загальними теоретичними концепціями. У випадку дослідження
