Судебные экспертизы при расследовании преступлений в сфере компьютерной информации
Основной род судебных экспертиз по делам этой категории -судебные компьютерно-технические, в рамках которых выделяют четыре вида:
а) судебная аппаратно-компьютерная экспертиза, заключающаяся в проведении исследования:
- технических (аппаратных) средств компьютерной системы: персональных компьютеров;
- периферийных устройств, сетевых аппаратных средств (серверы, рабочие станции, активное оборудование, сетевые кабели и т. д.);
- интегрированных систем (органайзеры, пейджеры, мобильные телефоны и т. п.);
- встроенных систем (иммобилайзеры, транспондсры, круиз-контроллеры и др.);
- любых комплектующих всех указанных компонентов (аппаратные блоки, платы расширения, микросхемы и т. д.).
При этом решаются задачи:
- классификации и определения свойств аппаратного средства; выяснения фактического и первоначального состояния;
- диагностики технологии изготовления, причин и условий изменения свойств (эксплуатационных режимов);
- определения структуры механизма и обстоятельства события за счет использования выявленных аппаратных средств как по отдельности, так и в комплексе в составе компьютерной системы;
б) судебная программно-компьютерная экспертиза, назначаемая для исследования программного обеспечения. Объекты включают: системное программное обеспечение; прикладное программное обеспечение (текстовые и графические редакторы, системы управления базами данных, электронные таблицы); авторское программное обеспечение потребительского назначения.
Задачами экспертизы являются:
- классификация и определение основных характеристик операционной системы, используемых технологий системного программирования;
- выявление, исследование функциональных свойств и состояния программного обеспечения;
- исследование алгоритма программного продукта, типов поддерживаемых аппаратных платформ;
- определение причин, целей и условий изменения свойств и состояния программного обеспечения;
- индивидуальное отождествление оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы;
- установление групповой принадлежности программного обеспечения;
- выявление индивидуальных признаков программы, позволяющих впоследствии идентифицировать ее автора, а также взаимосвязи с информационным обеспечением исследуемой компьютерной системы;
в) судебная информационно-компьютерная экспертиза, имеющая цель поиск, обнаружение, анализ и оценку информации, подготовленной пользователем или порожденной программами для организации информационных процессов в компьютерной системе.
Информационные объекты (данные) включают:
- текстовые и графические документы (в бумажной и электронной формах), изготовленные с использованием компьютерных средств;
- данные в форматах мультимедиа;
- базы данных и другие приложения, имеющие прикладной характер.
Экспертными задачами здесь являются: установление вида, свойств и состояния информации (фактического и первоначального, в том числе до ее удаления и модификации) в компьютерной системе;
- определение причин и условий изменения свойств исследуемой информации;
- определение механизма, динамики и обстоятельств события по имеющейся информации на носителе данных или ее копиям;
- установление участников события, их роли, места, условий, при которых была создана (модифицирована, удалена) информация;
- установление соответствия либо несоответствия действий с информацией специальному регламенту (правилам), например, правомерно ли конкретное использование информации, защищенной паролем, и др.;
г) судебная компьютерно-сетевая экспертиза, основывающаяся прежде всего на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Задачи этой экспертизы включают практически все основные задачи рассмотренных выше видов экспертизы. Это объясняется тем, что ее объекты интегрированы из объектов рассмотренных выше видов экспертиз (аппаратные, программные и данные), но лишь с той разницей, что они все функционируют в определенной сетевой технологии.
По делам данной категории могут назначатьсясудебные экспертизы других классов и родов:
- судебно-трасологические — для анализа следов взлома, следов рук как на внешних, так и на внутренних поверхностях компьютеров и их комплектующих;
- судебно-экономические, в частности финансово-экономические и бухгалтерские, если преступления совершаются в кредитно-финансовой сфере;
- судебно-технические экспертизы документов, когда компьютер используется как средство для изготовления поддельных документов, фальшивых денежных билетов и проч.;
- фоноскопические экспертизы — при использовании средств прослушивания переговоров и др.
Лекция 39. Основы методики расследования преступлений, совершенных организованными группами или преступным сообществом (преступной организацией) 1. Исходная информация о совершении преступления организованной группой
Исходная информация, служащая основанием для возбуждения уголовного дела, может поступить в орган расследования по нескольким каналам.
1. Из дежурной части органа внутренних дел, принявшей заявление потерпевших или сигнал об обнаружении патрульно-постовой службой, сотрудниками организаций и предприятий и иными лицами признаков события, требующего расследования.
2. Из оперативных аппаратов органов внутренних дел.
3. Из медицинских учреждений при обращении к ним за помощью лиц, получивших повреждения в результате, насилия, предположительно имеющего криминальный характер.
4. При производстве до возбуждения уголовного дела осмотра места происшествия и связанных с ним розыскных мероприятий.
В криминалистическом аспекте эта информация в большинстве случаев содержит данные о том, что преступление совершено группой лиц, иногда о признаках сплоченности группы, разделении функциональных обязанностей и т. п. Судить по исходной информации о степени организованности группы, ее принадлежности к преступной организации более высокого уровня обычно трудно. Исключение могут составить оперативные сведения, о чем подробнее будет сказано далее.
Информация о преступлениях может быть устной и письменной. С заявлением о совершенном преступлении может обратиться и преступник (явка с повинной).
Как известно, распространенными средствами проверки исходной инфомации служат получение объяснений, истребование документов, назначение ревизии, предварительных исследований.
Вопрос о производстве предварительных исследований требует специального рассмотрения.
Предварительные исследования представляют собой форму использования специальных познаний. В силу существующей процессуальной процедуры, которая запрещает производство судебной экспертизы до возбуждения уголовного дела, предварительные исследования в известной степени выполняют ее функции, являясь средством получить информацию для решения вопроса о возбуждении уголовного дела и некоторые ориентиры для определения направленности расследования.
Предварительные исследования не заменяют производство экспертизы в силу следующих причин:
а) результаты таких исследований не имеют доказательственного значения и могут играть для следователя лишь ориентирующую роль. Полученная таким образом информация только в отдельных случаях может быть непосредственно использована для решения вопроса о возбуждении уголовного дела, например, если установлено, что исследуемое вещество является наркотиком или что водитель управлял автомашиной в состоянии опьянения;
б) возможности предварительных исследований существенно более ограничены хотя бы потому, что необходимое условие ее проведения - сохранить исследуемый объект в неизменном виде и как Следствие этого применение лишь неразрушающих методов исследования и т. п.;
в) проведение предварительных исследований в большинстве случаев нацелено на стандартные задачи, априори значимые для решения вопроса о возбуждении уголовного дела (природа исследуемого, вещества, состояние освидетельствуемого лица, выделение признаков папиллярного узора в пальцевом отпечатке и т. п.), поскольку следователь или оперативный работник еще не представляют себе, какую именно информацию желательно получить путем производства исследования. Особенно наглядно это положение дает о себе знать при судебно-медицинском исследовании трупа, доставленного в морг с места происшествия. Как правило, эксперт в этих случаях ограничивается фиксацией имеющихся на трупе повреждений, установлением причины и времени наступления смерти. Другие вопросы, возникающие в процессе расследования либо требуют повторного - уже экспертного - исследования, для чего может понадобиться эксгумация трупа, либо в силу тех или иных обстоятельств вообще остаются без ответа.
Криминалистами - учеными и практиками неоднократно ставился вопрос о необходимости разрешить до возбуждения уголовного дела производство хотя бы тех экспертиз, которые не требуют получения от людей образцов для сравнительного исследования, но законодатель на эти предложения не реагирует, а оппоненты утверждают, что подобное допущение может якобы "размыть" границы стадий уголовного процесса, ослабить гарантии прав личности и т. п., хотя, например, было очевидно, что никаких подобных последствий не повлекла законодательно разрешенная возможность проводить до возбуждения уголовного дела осмотр места происшествия.
Результаты предварительных исследований обычно содержат следующую информацию:
а) орудия, которые могли быть использованы при совершении преступления, по своему характеру требуют одновременных действий двух или более человек;
б) повреждения на теле потерпевшего причинены, судя по их расположению и характеру, не одним человеком;
в) волокна принадлежат однотипным предметам одежды, которые не могли быть надеты на одного человека, и т. п.
Иными словами, речь может идти о том, что констатируется причастность к событию двух или более человек.
Естественно, что в заявлениях и объяснениях потерпевших и в подобных источниках исходной информации может указываться, что преступление совершено группой, и даже некоторые сведения, позволяющие судить о характере этой группы. Еще более подробные данные могут быть сообщены органу расследования участниками преступной организации при явке с повинной, но получение полного объема информации осуществляется уже в ходе предварительного расследования.
Существенно отличается от описанной ситуация, когда дело возбуждается на основании данных, полученных оперативным путем.
Информация о признаках преступления может быть получена путем применения отдельных оперативно-розыскных мероприятий: личный сыск, оперативное наблюдение, контрольная проверка, экономический анализ и др.
Личный сыск представляет собой действия оперативного работника по розыску, распознаванию и последующему задержанию преступника. Объектом сыска может быть группа лиц, состоящих в преступном сообществе.
В процессе оперативного наблюдения устанавливаются связи лица, места его пребывания, факты транспортировки различных объектов и другие данные, позволяющие сделать вывод о существовании преступной группы.
Контрольная проверка заключается во внезапном для проверяемого лица или группы лиц выяснении правильности произведенной гражданской сделки или хозяйственной операции. Контрольная проверка, производимая одновременно в нескольких звеньях одного технологического процесса, позволяет выявить общность действий нескольких лиц, содержащих признаки преступления.
Эффективным примером обнаружения признаков преступления может служить и экономический анализ того, как влияет ущерб, причиненный хищениями, халатностью и др., на показатели хозяйственной деятельности.
Названные приемы позволяют получить лишь неполные данные о признаках преступления и совершении его группой. Иная ситуация складывается, если до возбуждения уголовного дела была осуществлена' оперативная разработка, т. е. комплекс оперативно-розыскных средств и приемов, объединенных единой целью: не только выявить признаки преступления, но и установить во всех деталях его механизм, участников, характер отношений между ними, выявить организаторов преступления, их внутренние и внешние связи и т. п., т. е. получить исчерпывающую информацию, которая позволит следователю качественно расследовать дело.
Оперативная разработка еще до возбуждения уголовного дела дает представление о характере преступного сообщества, всех тех признаках, которые позволяют отнести его к категории организованной преступности.
Возбуждение уголовного дела по оперативным данным имеет свои особенности. Реализация оперативных данных возможна лишь путем придания им статуса судебных доказательств, что, в свою очередь, требует глубоко продуманных и скоординированных действий следователя и оперативного работника, всестороннего учета возможного тактического риска и вообще всех возможных последствий планируемых действий.
Важным источником исходной информации, указывающей на совершение преступления организованной группой, служит осмотр места происшествия, проводимый до возбуждения уголовного дела.