8.2.4. Особливості пошуку, вилучення і зберігання комп’ютерної інформації, що може бути використана як доказ у процесі розслідування

У загальному вигляді так звані електронні докази — це сукупність інформації, яка зберігається в електронному вигляді на всіх типах електронних носіїв і в електронних засобах. Особливість цих доказів полягає в тому, що вони не можуть сприйматися безпосередньо, а мають бути інтерпретовані у певний спосіб і проаналізовані за допомогою спеціальних технічних засобів і програмного забезпечення.

У правоохоронних органах різних країн світу з кожним роком збільшується кількість спеціалізованих підрозділів для збирання та аналізу електронних доказів. Цю функцію також виконують численні лабораторії судової експертизи (державні і приватні).

Встановлено, що більшість злочинів, де електронні докази були долучені в процесі розслідування, — це злочини у сфері економіки. Однак такі випадки не поодинокі і при розслідуванні будь-яких інших видів злочинів.

Електронні докази можуть бути отримані з різноманітних джерел. Сучасне суспільство у багатьох випадках залежить від автоматизованих і комп’ютеризованих систем, які надають певні види послуг, робіт, виконують захисні функції. У повсякденному житті ми звертаємо мало уваги на різноманітні комп’ютерні системи, які є навколо нас і які впливають на наші життя і діяльність. Ніхто з нас не замислюється про велику кількість мобільних телефонів, радіоприймачів і передавачів, які взаємозв’язані між собою, комп’ютерів, які керують виробничими процесами на підприємствах, а також про невеликі електронні пристрої, де зберігається персональна інформація (адреси, телефонні номери, розклад дня тощо).

Дуже часто правоохоронні органи стикаються з комп’ютерами, коли розслідуються звичайні види кримінальних злочинів — крадіжка, вимагання, шантаж, торгівля наркотиками тощо. Для криміналістів також дедалі звичнішим стає пошук та аналіз у комп’ютерних системах інформації, яку можна використати як доказ при розгляді кримінальної справи в суді. І хоча законодавчі процедури і правила вилучення та оформлення доказів відрізняються в різних країнах, однак спільним є те, що визнання комп’ютерних доказів судами — процес складний і потребує впевненості в тому, що докази було виявлено та вилучено співробітником, який має певні навички та підготовку для цієї діяльності.

Під час обшуку всі електронні докази, які містяться у комп’ютері чи комп’ютерній системі, мають бути зібрані у такий спосіб, щоб їх потім визнав суд. Світова практика свідчить, що під тиском представників захисту в суді електронні докази не беруться до уваги. Для того щоб гарантувати їх визнання як доказів, необхідно суворо дотримуватися вимог національного кримінально-процесуального законодавства, а також стандартизованих прийомів і методів, напрацьованих експертами та фахівцями з розслідування цих видів злочинів.

Важливо, щоб комп’ютерні злочини розслідували лише ті підрозділи чи співробітники правоохоронних органів, які мають спеціальні навички для ведення таких справ і пройшли відповідну підготовку. Робота з комп’ютерами і комп’ютерним обладнанням потребує спеціальних знань. Якщо з цією технікою працюватиме некваліфікована особа, можуть виникнути серйозні проблеми, які призведуть до значних витрат. Тому існує нагальна потреба у спеціалізованих “комп’ютерних” підрозділах у системі правоохоронних органів або у кваліфікованих технічних працівниках.

Комп’ютери — це складне обладнання, яке потребує обережного поводження з ним під час роботи на місці події. Потрібно пам’ятати, що комп’ютери можуть містити велику кількість даних, які належать сторонній особі або організації (наприклад, можуть бути об’єктом інтелектуальної власності). Тому обережність при поводженні з комп’ютером необхідна як з точки зору збереження важливої доказової інформації, так і з точки зору запобігання завданню матеріальних збитків, а також збереження власності. Без перебільшення, одна помилка може коштувати мільйонних економічних втрат. Саме тому необхідно, щоб з комп’ютером на місці події працювала кваліфікована особа.

Справедливим є твердження, що не існує такого поняття, як “універсальний комп’ютерний експерт”. Можна говорити про осіб, які є компетентними фахівцями в певних видах комп’ютерних систем. Тому, збираючись на місце події, важливо встановити, з якою технікою і з якою операційною системою доведеться працювати. Насамперед необхідно встановити назву операційної системи. Не всі комп’ютерні системи однаково розповсюджені, і тут можуть виникнути певні проблеми. Спеціаліст з операційної системи MS DOS може не володіти необхідними знаннями для управління машиною з іншою операційною системою, наприклад, UNIX. Потрібно мати на увазі, що тип операційної системи, що використовується в комп’ютері, як правило, не зазначається на його корпусі. На корпусі є інформація про виробника комп’ютера або тільки номер моделі. Але, незважаючи на певні труднощі, фахівець повинен визначитися, чи може він працювати з цією системою. Водночас необхідно пам’ятати, що відповідальність за дії на місці події несе офіцер правоохоронних органів. Якщо до проведення операції був залучений експерт чи фахівець, дії цієї особи з обладнанням необхідно ретельно фіксувати.

Найпростіше, коли мова йде про один окремий комп’ютер. Однак комп’ютери можуть бути об’єднані між собою в комп’ютерну мережу (наприклад, локальну), які, в свою чергу, можуть бути об’єднані через глобальні комп’ютерні мережі (типу Інтернет). Тому можлива ситуація, що певну важливу інформацію (яку можна використати як доказ) буде передано через мережу в інше місце. Не виключено також, що це місце буде десь за кордоном, а іноді важлива для кримінальної справи інформація може бути передана на територію кількох країн. У такому разі необхідно використати всі можливості (документація, допити осіб, технічні можливості системи) для встановлення місцезнаходження іншої комп’ютерної системи, куди було передано інформацію. Щойно це буде зроблено, потрібно терміново надіслати запит, з виконанням встановлених вимог, про подання допомоги (або правової допомоги, якщо вона необхідна для виконання поставлених у запиті питань) до компетентного правоохоронного органу відповідної країни. Саме на цьому етапі виникають найбільші труднощі в організації роботи з розслідування комп’ютерного злочину та кримінального переслідування злочинців.

Співробітники правоохоронних органів дедалі частіше стикаються при обшуках в офісах підприємств та установ із локальними комп’ютерними мережами. Технології мереж дуже розвинені та складні, ось чому існує небезпека, що слідство може втратити важливі докази, якщо особи, що ведуть його, не будуть ознайомлені з можливостями цих технологій. Необхідно зрозуміти, що реальне фізичне місцезнаходження даних може бути зовсім не в тому місці, як це сприймається на перший погляд. Технології мереж дають змогу приховати реальне розташування існуючих твердих дисків і файлових систем.

Особливу цінність при розслідуванні у комп’ютерних мережах відіграють так звані логи, інформація, яка міститься в лог-файлах. За допомогою цих файлів можна відповісти на такі важливі запитання:

• Хто? — рахунок користувача, ідентифікатор користувача;

• Коли? — час транзакції;

• Звідки? — мережна адреса, номер термінала, телефонний номер;

• Що? — що трапилось у системі, що було знищено, змінено, замінено, скопійовано, які ресурси були задіяні для цього, в чому виражаються завдані збитки.

Лог-файли можуть бути організовані в комп’ютерах на різних рівнях: операційної системи, спеціально встановленого програмного забезпечення, окремих модулів баз даних і навіть у програмах-додатках. Фізично ця інформація може міститися в різних місцях від локальної станції і сервера мережі до головних великих ЕОМ.