Огляд місця події при розслідуванні “комп’ютерних” злочинів

Серед криміналістичних проблем, які постали перед правоохоронними органами при . розслідуванні злочинів у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж, виділяють відсутність методики збирання так званих «електронних» доказів. Більшість останніх отримується при проведенні огляду місця події.

Як відомо, процес збирання доказів у кримінальній справі містить їх виявлення, фіксацію і вилучення. При розслідуванні злочинів, передбачених розділом XVI КК України «Злочини у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж»*, даний процес набуває специфічних рис. Це пояснюється, в першу чергу, тим, що сліди злочинної діяльності, спрямованої на порушення роботи електронно-обчислювальних машин (комп'ютерів) тощо, в силу специфіки названого виду злочинів рідко залишаються у вигляді змін зовнішнього середовища. Однак це не означає, що матеріальних слідів не буває взагалі. Насамперед, вони залишаються на магнітних носіях інформації і відбивають її зміни (у порівнянні з вихідним станом). Йдеться про сліди модифікації інформації — баз даних, програм, текстових файлів. Виходячи з наведеного, при огляді місця події під час розслідування «комп'ютерних» злочинів робота слідчого, крім виявлення, фіксації і вилучення традиційних слідів (відбитків пальців рук, мікрочастин на клавіатурі, дисководах, принтері тощо), полягає й у виявленні, фіксації і вилученні так званих слідів модифікації інформації. Як правило, останні залишаються на магнітних носіях (твердих дисках ЕОМ, дискетах, магнітних стрічках, лазерних і магнітооптичних дисках), що можуть бути з дотриманням встановленого КПК України порядку вилучені і приєднані до кримінальної справи як речовий доказ. Слід зазначити, що у відповідності з останніми змінами до КПК [1] вилучається і відповідним чином фіксується носій, який визнається доказом у справі (ст. 187¹).

При огляді місця події, пов'язаного з вилученням комп'ютерної техніки і носіїв інформації, виникає ряд загальних проблем щодо специфіки технічних засобів, які вилучаються. Розглянемо їх докладніше.

Оскільки знаряддями вчинення вказаних злочинів є засоби комп'ютерної техніки, в тому числі й спеціальне програмне забезпечення, огляду в першу чергу підлягають саме вони[2].

Слідчий, який виїжджає на огляд місця по-і дії, повинен мати при собі наступні речі[3]:

— відформатовані дискети різних форматів, які будуть використовуватись для накопичення вилученої з обшукуваного комп'ютера інформації;

— велику кількість липкої стрічки чи інших засобів захисту дисків від запису;

— пакет універсальних програм-утиліт для забезпечення безперешкодного і ефективного вилучення з комп'ютера доказової інформації. В тому випадку, коли слідчий знає, з якими труднощами йому доведеться зіткнутися, він має заздалегідь подбати про необхідний пакет утиліт;

— набори кольорових наклейок для маркування вилучених речей. При маркуванні таких предметів слідчий має простежити, щоб принесені ним чи іншими учасниками слідчої дії предмети маркувалися наклейками іншого кольору, ніж ті, що виявлені та вилучені з місця події;

— папір для принтера;

— системні дискети, тобто ті, з яких можливо ініціювати роботу операційної системи. Це пояснюється тим, що комп'ютерні порушники нерідко програмують свої комп'ютери так, що запуск системи іншою особою звичайним шляхом тягне знищення усіх файлів;

— програми виявлення комп'ютерних вірусів для захисту комп'ютерної системи від можливих ушкоджень через обладнання, яке використовує слідчий (це можуть бути як дискети, виявлені на місці події, так і програми, отримані через канали зв'язку);

— фото- чи відеообладнання. Першочерговими діями слідчого на місці події мають бути:

— вжиття заходів щодо збереження ситуації такою, якою вона була до моменту прибуття з метою запобігання знищенню інформації: вивести всіх осіб із зони доступу до обладнання, запобігти втручанню у систему через лінії зв'язку (зокрема, через модеми), а також внесення змін у роботу системи. Якщо в приміщенні знаходяться декілька комп'ютерів, об'єднаних між собою в мережу, слідчий повинен попросити осіб, які за ними працюють, залишити місця роботи і відійти від цих комп'ютерів.

— проведення відеозапису місця події для фіксації поточного стану операційної системи комп'ютера та порядку розташування його обладнання,

— проведення фотозйомки серійних номерів та номерів моделей комп'ютерного обладнання;

— нумерація комп'ютерного обладнання відповідно до його розташування на місці події. При проведенні названих дій заборонено:

— відразу торкатися клавіатури (оскільки на ній можуть бути відбитки пальців рук злочинця. Крім того, комп'ютер може бути запрограмований на автоматичне знищення інформації через натискання на будь-яку клавішу);

— від'єднувати комп'ютер від джерела живлення;

— у будь-який спосіб змінювати поточний стан операційної системи комп'ютера.

По прибуттю на місце події і після виконання зазначених вище дій слідчий у такій послідовності має обстежити і описати у протоколі:

— комп'ютерне обладнання за правилами, наведеними вище;

— програмне забезпечення. Особливу увагу варто звертати на так називані лог-файли (журнали роботи програм), де може зберігатися важлива інформація. Більшість систем створюють лог-файли як частину їх звичайної діяльності. Щоразу, коли система виконує певні операції,

інформація про те, що відбувається (час і дата проведення даних операцій, суб'єкти виконання та перелік файлів, з якими дані операції проведені), фіксується у лог-файлі. Зокрема, у них фіксується інформація: про входження або спробу входження в систему; про спробу відкриття файлів, до яких у користувача немає дозволу; коли він запускає програму.

— дискети та інші носії інформації;

— вся документація, знайдена на місці події;

— все периферійне обладнання (принтери, модеми, сканери, мережені кабелі);

— роздруковані матеріали. .

Після того, як все назване оглянуто і зафіксовано у протоколі, його необхідно упакувати і опечатати. При розбиранні обладнання треба відмічати (маркувати) обидва кінці кабелів. Крім цього, проводиться фотографування загального виду кімнати та складається план приміщення, де відображається місце знаходження апаратури, її підключення та взаємне з'єднання. Якщо комп'ютер приєднано до телефонної мережі, з'ясовується: чи підключений комп'ютер до неї за допомогою модему. Якщо це телефонний роз'єм, необхідно відключити його. Якщо він підключений через модем, то вимикається напруга даного пристрою (не комп'ютера), в протокол записується номер використаного при з'єднанні телефону.

Потім вимикається монітор, процесор та відключається напруга. При цьому в протоколі слідчої дії та додатку-схемі до нього ретельно фіксується місцезнаходження ПК і його периферійних приладів, описується порядок з'єднання між собою вказаних приладів, із зазначенням особливостей (колір, кількість з'єднувальних роз'ємів, їх специфікація) з'єднувальних проводів і кабелів; перед роз'єднанням корисно здійснити відеозапис чи фотографування місць з'єднань. Носії інформації окремо упаковуються і помішуються в оболонки, які не несуть заряду статичної електрики.

Процесор упаковується в опечатані спеціальні оболонки (які забезпечують надійність його транспортування). Портативні комп'ютери, дискети, окремо змонтовані жорсткі диски, носії інформації, що можуть використовуватися разом з комп'ютерами (касети, дискети, лазерні диски), також упаковуються в окремі опечатані пакети чи коробки, В протоколі зазначаються номери печаток. При упакуванні обладнання необхідно, щоб воно мало температуру оточуючого середовища.

Всі речі та документи повинні бути вилучені та описані у відповідності з нормами чинного кримінально-процесуального законодавства. Комп'ютери та їх комплектуючі опечатуються шляхом наклеювання на місця з'єднань аркушів паперу, із закріпленням їх країв на бокових стінках комп'ютера густим клеєм або клейкою стрічкою, щоб виключити роботу з

ними у відсутності власника або експерта. Магнітні носії упаковуються та транспортуються у спеціальних екранованих контейнерах або у стандартних дискетних чи інших алюмінієвих футлярах заводського виготовлення, які виключають руйнівний вплив електромагнітних і магнітних полів, направлених випромінювань. Опечатуються тільки контейнери або футляри. Пояснювальні записи можуть наноситись лише на самонаклеювальні етикетки для дискет, причому спочатку робиться запис, а потім етикетка наклеюється на призначене для неї місце на дискеті. На етикетці має бути зафіксована наступна інформація:

,^,— перелік файлів, записаних на цю дискету;

— паролі, необхідні для відкриття даних файлів;

— назва операційної системи, якій належать записані файли;

— інформація про можливий чи наявний зміст файлу.

Якщо на дискеті вже є етикетка з яким-не-будь написом, проставляється тільки порядковий номер, а пояснювальні написи під ним робляться на окремому аркуші, який вкладається до коробки. Неприпустимо приклеювати будь-що безпосередньо на магнітний носій, пропускати через нього нитку, пробивати отвори, робити надписи, помітки, ставити печатки тощо. Усе вилучене необхідно якомога швидше передати у розпорядження експерта або фахівця для подальшого вивчення.

Огляд комп'ютерів і вилучення інформації проводиться в присутності понятих, що розписуються на роздруковках інформації, виготовлених у ході огляду. Як понятих слід запрошувати людей, котрі мають необхідні знання у галузі комп'ютерної техніки. Нерозуміння змісту виконуваних правоохоронцями дій для людини, запрошеної як понятий, а пізніше — допитаної у суді, може не переконати останній у визнанні тих чи інших обставин доказами[4]. Понятими бажано запрошувати працівників того підприємства, організації, установи, фірми, компанії, в якій проводиться огляд чи обшук, за умови, що вони не зацікавлені у вирішенні справи.

Дотримання співробітниками правоохоронних органів наведених вище рекомендацій щодо проведення огляду місця події, на мою думку, сприятиме підвищенню ефективності розслідування «комп'ютерних» злочинів.

1. Див.: Голос України. — 2001. — № 116 (2616). — 5 лип.

2. Осмотр места преступления при расследовании отдельньїх видов преступлении: Учеб. по-соб. / Под ред. проф. Н.И.Клименко. - К, 2001. - С. 158-159.

3. Computer Crim: А Crime fighter’s Handbook. — D.Icove, K.Seger, W.Von Sorsh. O’Reylli &Associates, Іns., 1995. — 437р.

4. Котляревський О. І.,КиценкоД.М. Комп 'ютерна інформація як речовий доказ у кримінальній справі / Інформаційні технології та захист інформації: 36. наук. праць. — Запоріжжя, 1998. - Вип. 2. - 128 с.

* Далі умовно будемо називати зазначену групу злочинів “комп’ютерними”.