Среди криминалистических проблем, стоящих перед правоохранительными органами при расследовании преступлений в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей, выделяют отсутствие методики сбора так называемых «электронных » доказательств. Большинство последних получают непосредственно при проведении осмотра места происшествия.
Как известно, процесс сбора доказательств по уголовному делу содержит их обнаружения, фиксации и изъятия. При расследовании преступлений, предусмотренных разделом XVI УК Украины «Преступления в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей», данный процесс приобретает специфические черты. Это объясняется, в первую очередь, тем, что следы преступной деятельности, направленной на нарушение работы электронно-вычислительных машин (компьютеров) и т.п., в силу специфики названного вида преступлений редко остаются в виде изменений внешней среды. Однако это не означает, что материальных следов не бывает вообще. Прежде всего, они остаются на магнитных носителях информации и отражают ее изменения (по сравнению с исходным состоянием). Речь идет о следах модификации информации - баз данных, программ, текстовых файлов. Исходя из приведенного, при осмотре места происшествия при расследовании «компьютерных» преступлений работа следователя, кроме выявления, фиксации и изъятия традиционных следов (отпечатков пальцев рук, микрочастиц на клавиатуре, дисководах, принтере и т.п.), заключается и в выявлении, фиксации и изъятии так называемых следов модификации информации. Как правило, последние остаются на магнитных носителях (жестких дисках ЭВМ, магнитных лентах, лазерных и магнитооптических дисках), которые могут быть с соблюдением установленного Уголовно-Процессуального Кодекса (в дальнейшем "УПК") изъяты и присоединены к уголовному делу как вещественное доказательство. Следует отметить, что в соответствии с последними изменениями в УПК носитель изымается и соответствующим образом фиксируется , и в дальнейшем признается доказательством по делу.
При осмотре места происшествия, связанного с изъятием компьютерной техники и носителей информации, возникает ряд общих проблем относительно специфики технических средств, которые изымаются. Рассмотрим их подробнее.
Поскольку орудиями совершения указанных преступлений являются средства компьютерной техники, в том числе и специальное программное обеспечение, осмотру в первую очередь подлежат именно они.
Следователь, который выезжает на осмотр места пришествия, должен иметь при себе следующие вещи:
- Отформатированы дискеты (лазерные оптические диски, флешки и т.д.) различных форматов, которые будут использоваться для накопления изъятой из обыскиваемого компьютера информации;
- Большое количество липкой ленты или других средств защиты дисков от записи;
- Пакет универсальных программ-утилит для обеспечения беспрепятственного и эффективного извлечения из компьютера доказательственной информации. В том случае, когда следователь знает, с какими трудностями ему придется столкнуться, он должен заранее позаботиться про необходимый пакет утилит;
- Наборы цветных наклеек для маркировки изъятых вещей. При маркировке таких предметов следователь должен проследить, чтобы принесенные им или другими участниками следственного действия предметы маркировались наклейками другого цвета, чем те, которые обнаружены и изъяты с места происшествия;
- Бумага для принтера;
- Системные дискеты, то есть те, с которых возможно инициировать работу операционной системы. Это объясняется тем, что компьютерные нарушители нередко программируют свои компьютеры так, что запуск системы другим лицом обычным путем влечет уничтожение всех файлов;
- Программы обнаружения компьютерных вирусов для защиты компьютерной системы от возможных повреждений из оборудования, которое использует следователь (это могут быть как дискеты, обнаруженные на месте происшествия, так и программы, полученные через каналы связи);
- фото-или видеоаппаратуры.
Первоочередными действиями следователя на месте происшествия должны быть:
- Принятие мер по сохранению ситуации такой, какой она была до момента прибытия в целях предотвращения уничтожению информации: вывести всех лиц из зоны доступа к оборудованию, предотвратить вмешательство в систему через линии связи (в частности, через модемы), а также внесение изменений в работу системы. Если в помещении находятся несколько компьютеров, объединенных между собой в сеть, следователь должен попросить лиц, которые за ними работают, оставить места работы и отойти от этих компьютеров.
- Проведение видеозаписи места происшествия для фиксации текущего состояния операционной системы компьютера и порядка расположения его оборудования,
- Проведение фотосъемки серийных номеров и номеров моделей компьютерного оборудования;
- Нумерация компьютерного оборудования в соответствии с его расположение на месте происшествия.
При проведении названных действий запрещено:
- сразу касаться клавиатуры (поскольку на ней могут быть отпечатки пальцев рук преступника. Кроме того, компьютер может быть запрограммирован на автоматическое уничтожение информации через нажатие на любую клавишу);
- отсоединять компьютер от источника питания;
- в любой способ изменять текущее состояние Вашей системы.
По прибытию на место происшествия и после выполнения указанных выше действий следователь в такой последовательности должен обследовать и описать в протоколе:
- Компьютерное оборудование по правилам, приведенным выше;
- Программное обеспечение. Особое внимание следует обращать на так называемые лог-файлы (журналы работы программ), где может храниться важная информация. Большинство систем создают лог-файлы как часть их обычной деятельности. Каждый раз, когда система выполняет определенные операции, информация о том, что происходит (время и дата проведения данных операций, субъекты выполнения и перечень файлов, с которыми данные операции проведены), фиксируется в лог-файле. В частности, в них фиксируется информация: о вхождении или попытку вхождения в систему; о попытке открытия файлов, к которым у пользователя нет разрешения; когда он запускает программу.
- Дискеты и другие носители информации;
- Вся документация, найденная на месте происшествия;
- Все периферийное оборудование (принтеры, модемы, сканеры, сетевые кабели);
- Распечатанные материалы.
После того, как все названное осмотренно и зафиксировано в протоколе, его необходимо упаковать и опечатать. При разборке оборудования надо отмечать (маркировать) оба конца кабелей. Кроме этого, проводится фотографирование общего вида комнаты и составляется план помещения, где отображается местоположение аппаратуры, ее подключение и взаимное соединение. Если компьютер подключен к телефонной сети, выясняется: подключен компьютер к сети с помощью модема. Если это телефонный разъем, необходимо отключить его. Если он подключен через модем, то выключается напряжение данного устройства (не компьютера), в протокол записывается номер использованного при соединении телефона.
Затем выключается монитор, системный блок и отключается напряжение. При этом в протоколе следственного действия и приложения-схеме к нему тщательно фиксируется местонахождение ПК и его периферийных приборов, описывается порядок соединения между собой указанных приборов, с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением полезно осуществить видеозапись или фотографирование мест соединений. Носители информации отдельно упаковываются и помещаются в оболочки, которые не несут заряда статического электричества.
Системный блок упаковывается и опечатывается в специальные оболочки (обеспечивающих надежность его транспортировки). Портативные компьютеры, дискеты, отдельно смонтированы жесткие диски, носители информации, которые могут использоваться вместе с компьютерами (кассеты, дискеты, лазерные диски), также упаковываются в отдельные опечатаные пакеты или коробки, в протоколе обязательно указываются номера печатей. При упаковке оборудования необходимо, чтобы оно имело температуру окружающей среды.
Все вещи и документы должны быть изъяты и описаны в соответствии с нормами действующего уголовно-процессуального законодательства. Компьютеры и их комплектующие опечатываются путем наклеивания на места соединений листов бумаги, с закреплением их краев на боковых стенках компьютера густым клеем или клейкой лентой, чтобы исключить работу с
ними в отсутствие владельца или эксперта. Магнитные носители упаковываются и транспортируются в специальных экранированных контейнерах или в стандартных дискетних или иных алюминиевых футлярах заводского изготовления, исключающих разрушающее воздействие электромагнитных и магнитных полей, направленных излучений. Опечатываются только контейнеры или футляры. Пояснительные записи могут наноситься только на самоклеющие этикетки для дискет, причем сначала делается запись и этикетка наклеивается на предназначенное для нее место на дискете. На этикетке должно быть зафиксирована следующая информация:
- Список файлов, записанных на эту дискету;
- При необходимости, пароли, необходимые для открытия данных файлов;
- Название операционной системы, которой принадлежат записанные файлы;
- Информация о возможном или имеющийся содержание файла.
Если на дискете уже есть этикетка с каким-нибудь надписью, проставляется только порядковый номер, а пояснительные надписи под ним делаются на отдельном листе, который вкладывается в коробку. Недопустимо приклеивать что-то непосредственно на магнитный носитель, пропускать через него нить, пробивать отверстия, делать надписи, пометки, ставить печати и т.д. Все изъятое необходимо как можно скорее передать в распоряжение эксперта или специалиста для дальнейшего изучения.
Осмотр компьютеров и извлечение информации производится в присутствии понятых, которые расписываются на распечатках информации, изготовленных в ходе осмотра. Как понятых следует приглашать людей, имеющих необходимые знания в области компьютерной техники. Непонимание смысла выполняемых стражами действий для человека, приглашенного в качестве понятого, а позже - допрошенного в суде, может не убедить последний в признании тех или иных обстоятельств доказательствами. Понятыми желательно приглашать работников того предприятия, организации, учреждения, фирмы, компании, в которой проводится освидетельствование и обыск, при условии, что они не заинтересованы в разрешении дела.
Соблюдение сотрудниками правоохранительных органов приведенных выше рекомендаций по проведению осмотра места происшествия, по моему мнению, будет способствовать повышению эффективности расследования «компьютерных» преступлений.

©HITACHI