8.2.5. Правові засади і особливості методики розслідування злочинів у сфері високих технологій

Стадія підготовки до розслідування комп’ютерного злочину. До підготовки будь-якої акції (слідчої дії, організаційних заходів), пов’язаної з розслідуванням комп’ютерного злочину (особливо огляду), доцільно з самого початку залучити фахівця з комп’ютерних систем. До початку операції необхідно також мати певну “розвідувальну” інформацію: марка, модель комп’ютера, операційна система, периферійні пристрої, засоби зв’язку та будь-які інші відомості про систему, яка є об’єктом розслідування.

Наявну інформацію потрібно терміново повідомити фахівцю, щоб він мав час для встановлення контакту, консультацій з іншими фахівцями (якщо в цьому виникає необхідність), а також підготовки необхідних для збирання доказової комп’ютерної інформації, обладнання, інструментів, програмного забезпечення та магнітних носіїв.

Слідча пошукова група повинна бути певним чином проінструктована. Необхідно переконатися, що члени слідчої групи знайомі з типами технічних об’єктів, з якими вони працюватимуть. Адже нині зустрічаються комп’ютери різноманітних типів та розмірів — від маленьких, розміром з годинник, до традиційно великих машин. На цьому треба зосередити увагу учасників слідчої дії (обшуку, огляду).

Пошук необхідної інформації у комп’ютерних системах може зайняти кілька годин або й кілька днів. У разі, коли систему неможливо фізично вилучити і перемістити в інше місце, виникає потреба скопіювати інформацію та комп’ютерні програми на магнітні носії (зробити повні копії окремих машин або окремих директорій, дисків тощо). Тому для пошуку та копіювання інформації необхідно зарезервувати час.

Магнітні носії, на які передбачається скопіювати інформацію, повинні бути відформатовані (необхідно перевірити, що на них немає якоїсь інформації). Носії потрібно зберігати у спеціальних упаковках або загортати у чистий папір (не слід використовувати звичайні поліетиленові пакети). Треба пам’ятати, що інформація може бути пошкоджена вологістю, пилом або електростатичними (магнітними) полями.

Під час транспортування комп’ютерного обладнання з ним слід поводитися обережно, оскільки головки запису й стирання можуть бути пошкоджені під час руху. Для перевезення великих комп’ютерних систем треба підготувати транспорт і спеціальну упаковку.

Слідчий огляд і вилучення комп’ютерної інформації. Після прибуття на місце події (огляду) необхідно передусім “заморозити” ситуацію, тобто вивести всіх осіб із зони доступу до обладнання, забезпечити неможливість втручання до системи через лінії зв’язку (зокрема через модеми), не дозволяти нічого змінювати у роботі системи. Система може бути дуже складна, тому, чітко не розібравшись у її конфігурації, не можна приймати поспішних рішень. Якщо потрібна допомога фахівця, забезпечити його виклик і чекати на нього.

У жодному разі та під будь-яким приводом не можна дозволяти підозрюваній особі торкатися комп’ютера. Адже не виключено, що в комп’ютері передбачена можливість стирання інформації в разі натиснення однієї клавіші. Бажано, щоб підозрюваний був присутній при огляді, оскільки саме він може надати найважливішу інформацію про систему — паролі, коди доступу, перелік інстальованих програм і місцезнаходження окремих директорій (у тому числі прихованих). Однак його необхідно тримати на відстані від комп’ютерного обладнання та джерела струму, щоб запобігти спробам змінити або знищити комп’ютерні докази.

Потрібно ретельно обстежити комп’ютерне обладнання та описати його в протоколі, обов’язково намалювати схему системи. Слід пам’ятати, що самовільне втручання до системи може внести зміни у доказову інформацію або призвести до цілковитої її втрати. Крім того, знищення даних або пошкодження обладнання в результаті некваліфікованих дій можуть спричинити виникнення матеріальних претензій до організації, яка здійснює розслідування чи перевірку.

Доцільно також зробити огляд та детальну фотозйомку місця події, за можливості провести відеозапис. Буває, що окремі компоненти системи можуть розміщуватися в інших приміщеннях і навіть будівлях, або взагалі бути прихованими. Схованки можуть бути зроблені в стінах будівель, стелях, горищних приміщеннях.

Як уже зазначалося, потрібно дотримуватися певних правил поводження з комп’ютерним обладнанням (саме тоді й перевіряється ступінь підготовленості співробітників правоохоронних органів). Коротко наведемо окремі рекомендації:

1. На будь-якому етапі роботи з комп’ютерним обладнанням та доказами комп’ютерного походження, якщо ви не впевнені в собі, дочекайтеся прибуття експерта або забезпечте участь фахівця.

2. Якщо участь експерта або фахівця неможлива, дотримуйтесь такої послідовності дій (невиконання цих вимог може призвести до втрати інформації або її доказової сили):

• не користуйтеся поблизу комп’ютерів радіотелефонами, оскільки вони можуть негативно вплинути на комп’ютерну систему;

• при охороні комп’ютера не дозволяйте нікому вимикати напругу, торкатися клавіатури, змінювати положення комп’ютера або пов’язаного з ним обладнання. Ніколи не рухайте комп’ютер, коли він увімкнутий. Дозвольте принтеру закінчити друкування, якщо воно почалося;

• зафіксуйте, як кожні з частин комп’ютерної мережі з’єднані між собою та з іншим обладнанням. У разі розбирання позначайте обидва кінці кабелів. Забезпечте фотографування загального інтер’єру кімнати та підготуйте план приміщення, де буде відображено місцезнаходження апаратури, її підключення та взаємне з’єднання. На цій стадії не вимикайте і не вмикайте комп’ютер. Вимикання живлення з метою вилучення обладнання призведе до втрати часової пам’яті комп’ютера (RAM), а також може викликати ускладнення з запуском системи у майбутньому, тому що вона може бути захищена паролями. Коли екран монітора не світиться, це ще не означає, що комп’ютер обов’язково вимкнений. Можуть бути пошкоджені окремі деталі обладнання, не працювати вентилятор чи бути вимкнутим тільки монітор;

• занотуйте у повному обсязі інформацію, яка є на екрані (екранах);

• забезпечте охорону комп’ютерної системи, після чого з’ясуйте такі питання:

- чи підключений комп’ютер до телефонної мережі за допомогою модему. Якщо це телефонний роз’єм, то від’єднайте його. Якщо він підключений через модем, то вимкніть живлення цього пристрою (не комп’ютера). Запишіть номер використаного телефону;

- де розміщується джерело живлення (батареї, акумулятори, джерело безперервного живлення та інше);

• закрийте активні програми, після чого можна вимкнути монітор, процесор і відключити напругу;

• установіть і зазначте виробника, модель і серійний номер усіх вузлів та операційних систем;

• від’єднайте кабелі живлення клавіатури, монітора, модему та принтера;

• упакуйте процесор або CPU (якщо твердий диск змонтовано окремо) в опечатані пакети (паперові або спеціальні упаковки) та позначте номери печаток. Якщо це портативний комп’ютер, то вкладіть його до конверта, а потім до опечатаного пакета. Не відкривайте портативний комп’ютер.

3. Переконайтеся, що всі перелічені пункти виконані. Упакуйте в окремі опечатані пакети:

• CPU (кожний окремо);

• портативні комп’ютери;

• дискети;

• окремо змонтовані тверді диски;

• носії інформації, які можуть використовуватися разом з комп’ютерами (касети, дискети, лазерні диски).

Перевірте, чи були вилучені:

• монітор (за винятком, коли комп’ютер підключений до телевізора);

• клавіатура;

• принтер;

• модем;

• документація та інструкції з експлуатації;

• адаптери до портативних комп’ютерів;

• позначені кабелі та роз’єми;

• зразки фірмових та інших бланків комп’ютерного походження;

• роздруковані комп’ютерні тексти, які можуть стосуватися злочину (вони могли бути знищені у комп’ютері);

• нотатки чи записи, якщо є підозра, що це комп’ютерні паролі чи інструкції щодо доступу до мережі або програм.

Усі речі та документи повинні бути вилучені та описані відповідно до норм чинного кримінально-процесуального законодавства.

4. Опитайте підозрюваних і свідків, для чого використовувався комп’ютер, чи застосовувалися паролі і які саме, де були придбані захисні програми. Необхідно визначити, чи є контракт на технічне обслуговування комп’ютерного обладнання, з ким він укладений, чи були збої під час експлуатації техніки та які саме.

5. Якнайшвидше передайте усе вилучене у розпорядження експерта або фахівця для подальшого вивчення.

Дослідження, аналіз і оцінка вилученої комп’ютерної інформації. Оскільки результати комп’ютерно-технічної експертизи, особливо експертизи програмного забезпечення безпосередньо залежать від зберігання інформації на внутрішніх і зовнішніх магнітних носіях, необхідно при вилученні об’єктів дотримуватися правил, які були зазначені вище.

Під час розслідування злочинів, які пов’язані з комп’ютерами та комп’ютерними системами, найважливішим є уникати дій, які можуть пошкодити чи змінити наявну інформацію, у той чи інший спосіб змінити цілісність вилучених даних. Використання відпрацьованих і перевірених процедур і методик зменшує, але повністю не виключає такої можливості. У ряді випадків неминуче окремі дані системи будуть змінені чи переписані у ході проведення досліджень системи, наприклад, зміна тимчасових файлів, поява змін при закритті програм-додатків, на бітовому рівні можуть бути внесені зміни у парольний захист. Особи, які досліджують комп’ютерну систему, повинні чітко уявляти всі побічні негативні наслідки проведених з системою операцій і ретельно фіксувати кожен свій крок дослідження, щоб бути готовими в майбутньому пояснити, чому і які зміни відбулися в системі.

Комп’ютери та їх комплектуючі опечатують шляхом наклеювання на місця з’єднань аркушів паперу із закріпленням їхніх країв на бокових стінках комп’ютера густим клеєм або клейкою стрічкою, щоб виключити роботу з ними за відсутності власника або експерта. Магнітні носії упаковують і транспортують у спеціальних екранованих контейнерах або у стандартних дискетних чи інших алюмінієвих футлярах заводського виробництва, які виключають шкідливий вплив електромагнітних і магнітних полів, спрямованих випромінювань. Опечатують тільки контейнери або футляри. Пояснювальні написи можна наносити тільки на самоклейні етикетки для дискет, причому спочатку робиться запис, а потім етикетка наклеюється на призначене для неї місце на дискеті. Якщо на дискеті вже є етикетка з якимось написом, проставляється тільки порядковий номер, а пояснювальні написи під цим номером робляться на окремому аркуші, який вкладається в коробку. Неприпустимо наклеювати будь-що безпосередньо на магнітний носій, пропускати через нього нитку, пробивати отвори, робити написи, помітки, ставити печатки тощо.

У постанові про призначення експертизи зазначають серійний номер комп’ютера та його індивідуальні ознаки (конфігурація, колір, написи на корпусі).

Повинно стати нормою в слідчій та експертній практиці робити повну копію досліджуваної системи і всі дослідження проводити з копією, а не з самим оригіналом. Як правило, такий шлях можливий у будь-якому випадку. З точки зору дослідника, дані, що існують у системі, можна поділити на три великі категорії. Перша категорія — це дані, які існують на файловому рівні, друга — це дані, що були знищені, але є можливість їх відновлення на файловому рівні, третя — це окремі частини даних, які раніше були частинами окремих файлів і які вже неможливо відновити на рівні файлу.

Здійснення досліджень з цих питань — процес, який коштує великих грошей та потребує значних затрат часу. Неможливо перелічити всі методи, обладнання та програмне забезпечення, які використовуються для аналізу електронної інформації. Можна лише зазначити, що для цієї мети застосовують як загальнодоступні програмні засоби, так і спеціально розроблені програми для правоохоронних органів та експертних лабораторій. Вилучений матеріал вивчають, як правило, у спеціалізованих підрозділах, органах судової експертизи, спеціалізованих приватних компаніях, науково-дослідних установах, дослідних центрах.

Під час розслідування можливі випадки, коли слідчий чітко знає, який доказ він бажає знайти в комп’ютерній системі — конкретний документ чи угоду. У цьому разі завдання полегшується, і потрібно тільки встановити місцезнаходження цієї інформації в системі. Але ситуація різко змінюється, коли конкретно невідомо, яка інформація може становити інтерес для слідства. За цих умов особа, що веде розслідування, вимушена за допомогою експерта ознайомитися з усіма вилученими матеріалами. Сам експерт не може виконати цю роботу, оскільки не знає усіх обставин справи і не може оцінити доказову силу тієї чи іншої інформації.

Як характерні приклади електронних доказів можна навести існуючу в комп’ютерних системах інформацію про робочі контакти, листування, укладені контракти та угоди, бухгалтерські баланси та звіти, платіжні перекази і виплати тощо.

Не можна дозволяти стороннім особам і непідготовленому персоналу вмикати та користуватися вилученим обладнанням. Якщо це можливо, всі дослідження необхідно здійснювати за участю фахівців спеціальних підрозділів або в судових лабораторіях. Це гарантує від випадкових помилок та зберігає цілісність вилученої доказової інформації. Всі операції, які здійснюються з системою, необхідно ретельно фіксуватися.

Зберігання вилученої комп’ютерної інформації. Перевозити і зберігати комп’ютерну техніку потрібно в умовах, що виключають її пошкодження, в тому числі в результаті дії металодетекторів, що використовуються для перевірки багажу в аеропортах. При перевезенні і складуванні комп’ютерів неприпустимо ставити їх один на одного, розміщувати на них будь-які інші предмети.

Обладнання та магнітні носії інформації повинні зберігатися у сухому приміщенні (вологість 50-70 %), без пилу та магнітних полів, при температурі 15-20 °С. Багато комп’ютерів працюють від батарейок та акумуляторів. Перед зберіганням слід переконатися, що вони придатні для подальшої роботи, або їх слід замінити. В окремих типах техніки відсутність живлення може призвести до втрати записаної інформації. Слід перевірити, що в приміщенні немає гризунів (мишей і пацюків), які часто є причиною несправності апаратури.

1. Біленчук П. Д., Зубань М. А. Комп’ютерні злочини. — К., 1994. — 72 с.

2. Біленчук П. Д., Котляревський О. І. Портрет комп’ютерного злочинця. — К., 1997. — 48 с.

3. Волобуєв В. О. Проблеми розслідування “комп’ютерних” злочинів // Вісн. Нац. ун-ту внутр. справ України. — 1996. — № 1. — С. 63-70.

4. Голубєв В. О. Комп’ютерні злочини в банківській діяльності. — Запоріжжя: ВЦ “Павел”, 1997. — 118 с.

5. Голубєв В. О., Гавловський В. О., Цимбалюк В. С. Проблеми боротьби зі злочинами у сфері використання комп’ютерних технологій. — Запоріжжя: ГУ “ЗІДМУ”, 2002. — 292 с.

6. Гончаренко В. И. Использование данных естественных и технических наук в уголовном судопроизводстве. — К.: Выща шк., 1980. — 157 с.

7. Гончаренко В. І. Науково-технічні засоби у роботі слідчого. — К.: Вид-во КДУ, 1972. — 208 с.

8. Криміналістика: Підручник / П. Д. Біленчук, В. В. Головач, М. В. Салтевський та ін. — К.: Право, 1997. — 254 с.

9. Криміналістика: Підручник / За ред. П. Д. Біленчука. — К.: Атіка, 1998. — 418 с.

10. Криміналістика: Підручник / За ред. П. Д. Біленчука. — К.: Атіка, 2001. — 544 с.

11. Комп’ютерна злочинність / П. Д. Біленчук, Б. В. Романюк, В. С. Цимбалюк та ін. — К.: Атіка, 2002. — 240 с.