Салтевський михайло Васильович основи методики розслідування злочинів, скоєних з використанням еом навчальний посібник Харків 2000




Скачати 418.97 Kb.
НазваСалтевський михайло Васильович основи методики розслідування злочинів, скоєних з використанням еом навчальний посібник Харків 2000
Сторінка2/2
Дата конвертації26.02.2013
Розмір418.97 Kb.
ТипДокументы
uchni.com.ua > Інформатика > Документы
1   2

^ Ш. ОСОБЛИВОСТІ ПОРУШЕННЯ

КРИМІНАЛЬНИХ СПРАВ ТА Н ЕЩДКЛ А ДНІ

СЛІДЧІ Дії НА ПОЧАТКОВОМУ ЕТАПІ

РОЗСЛІДУВАННЯ
Повідомлення про злочин. пов’язаний із несанкціоно­ваним проникненням у комп’ютерну систему або комп'ютерну комунікативну мереж'-, найчастіше надходять у правоохоронні органи безпосередньо від потерпілих – користувачів, коли нормальна робота системи стає об'єктом незаконного доступу якогось злочинця

Комп'ютер починає повідомляти фальшиві дані, часто відбуваються збої, знищується частина корисної Інформації або вся, через що стають частішими скарги клієнтів комп'ютерної мережі. Усе це ознаки вчинення якихось зло­чинних дій – неправомірного проникнення, застосування шкідливих програм злочинцем або порушення правил експлуатації комп'ютерної системи.

Сторонній спостерігач, який знаходиться в колективі користувачів комп’ютерної мережі, може помічати такі особ­ливості в поведінці окремих співробітників: а) часте викорис­тання падзфочної роботи; б) немотивовані відмови обслугову­вати комп'ютери1 мережу та вимога надання відпустки, в) не­сподіване придбання майна, яке дорого коштує, г) зберігання
15

на робочому місці різних комп'ютерних, фінансових бланків та інших таких документів; д) поява випадків прихованого пе­реписування окремих даних без серйозних на те причин; е) ви­явлення надзвичайного інтересу співробітником до змісту чужих роздруків (лагтингів), які виходять із принтерів. Певна річ, що таку інформацію (власне ознаки) про незаконні дії можна одержати, застосовуючи оперативно-розшукові заходи органів дізнання. Керівник комп'ютерної системи або індивідуальний користувач, який підключився до комп'ютерної мережі, повинен сповістити в правоохоронні органи про ознаки порушення роботи системи.

Звідси кримінальні справи про комп'ютерні злочини можуть бути порушені як за повідомленнями та заявами гро­мадян – користувачів комп'ютерної системи або керівників установ, фірм, в яких є комп'ютерні системи, так і за матеріа­лами органів дізнання МВС та СЕ, де є спеціалізовані підроз­діли боротьби з організованою злочинністю, зокрема економі­чною та комп'ютерною.

У разі надходження у правоохоронні органи заяв або повідомлень від користувачів розслідуванню передує попередня перевірка, яку слідчий здійснює яри сприянні органів дізнання, контрольно-ревізійних органів.

Збирання матеріалів про ознаки злочину та їх перевірку проводить орган дізнання. Перед порушенням кримінальної справи орган дізнання подає матеріали слідчому Останній ви­рішує питання про порушення справи і разом з оперативним робітником розробляє план реалізації оперативних матеріалів. Як у першому, так і другому випадках до числа невідкладних першочергових слідчих дій належать: огляд, обшук, виїмка, затримання, допит.

Коли встановлено підозрюваного, то затримання слід проводити негайно, ізолювати його від доступу до комп'ю­терних засобів, здійснити огляд та обшук робочого місця, а також обшук за місцем проживання. Під час огляду слід звернути увагу на наявність комп'ютера, ліній та засобів зв’язку, які злочинець використав для проникнення в комп'ютери" мережу. При особистому обшуку треба вилучити пейджер, созовий телефон, пристрій для встановлення транспортного засобу під
16

охорону, а також інші пристрої дистанційного електронного корування, які здатні подавати радіосигнали та за допомогою яких злочинець може знищити в своєму або чужому комп'ютері сліди, котрі він залишив при несанкціонованому проникненні. Дискети, диски, чорнові записи програм, журнали реєстрації роботи на комп'ютері та деякі інші документи підлягають вилученню. Не рекомендується дозволяти затри­маному самостійно користуватися засобами зв'язку. Він може знищити необхідні докази

Виявлення, огляд та вилучення комп'ютерних засобів можуть проводитися не тільки під час слідчого огляду (ст. 190 КПК), але й ході інших слідчих дій, наприклад, обшуку (ст. 178 КПК), виїмки (ст. 179 КПК), при відтворенні обстановки та обставин події (ст. 194 КПК), перевірці показань на місці, слідчому експерименті, організованих заходах під час попередньо/ перевірки повідомлень та заяв про ознаки злочину

Провадження слідчої дії потребує ретельної підготовки, зумовленої особливостями комп'ютерних засобів.

Слід пам'ятати, що приміщення та комп'ютерні засоби, як правило, знаходяться під надійною електронною охороною і один хибний крок може призвести до непоправних наслідків. Наприклад, інформація на вінчестері може бути знищена автоматично при: а) розкритті кожуху комп’ютера, б) відчиненні кімнати, де знаходиться комп'ютер; в) за інших обставин, відомих лише керівникові підприємства (фірми). У практиці застосовуються такі способи знищення інформації, що зберігається в комп'ютері: дистанційний (по локальній ме­режі); контактний (натиснення на кнопку тривоги); мовний (передача усного повідомлення телефоном на пейджер, який знаходиться в комп’ютері); електронно-хвильовий (застосу­вання пристрою "брелок").

Тому запропоновані рекомендації призначені для слід­чих, дізнавачів, щоб кваліфіковано проводити слідчий огляд, обшук та виїмку комп'ютерних засобів. Для того, щоб одер­жати оптимальні результати, до участі в слідчій дії відповідно до ст. 128і КПК треба обов'язково залучити спеціаліста з комп'ютерної техніки.
17

Щодо тактики слідча дія має три етапи: підготовчий, робочий та завершальний. Розглянемо їх.

^ Підготовчий етап потребує виконання низки дій 1. У керівника підрозділу, особи, яка відповідає за експлуатацію комп'ютерної техніки, або Іншого співробітника організації, фірми необхідно взяти пояснення, а якшо кримінальну справу порушено, то допитати їх та з'ясувати такі обставини:

а) чи заблоковано приміщення, в якому знаходиться комп'ютер, електронною системою допуску або охоронною сигналізацією та які технічні засоби забезпечення використо­вуються для цього. Оскільки систему блокування обирає кори­стувач, необхідно витребувати на неї документацію та відпо­відний електронний або фізичний пароль (код), а в деяких ви­падках – і додатковий пристрій (електронний ключ) для до ступу до об'єктів, що охороняються. При цьому слід пам'ятати, що електронне блокування приміщення з'єднано з системою блокування самознищення важливої інформації в комп'ютері, яка працює від вмонтованого в комп’ютер джерела живлення. У разі порушення встановленого порядку входу в приміщення спрацьовує захист і комп'ютер знищує інформацію на вінчестері, навіть якщо він відключений від мережі живлення. Фірми, які застосовують подібні системи знищення важливої інформації на комп'ютері, обов'язково мають надійно заховану щоденну копію цієї Інформації або використовують "дзеркальний" вінчестер, який знаходиться на значному віддаленні від основного та під особливою охороною. Вміст "дзеркального" є точною копією основного вінчестера, будь-які зміни в якому простежуються що секундно;

б) які є засоби зовнішньої охоронної сигналізації та внутрішньої безпеки інформації, що знаходиться в комп'ютері;

в) чи встановлено спеціальні засоби в комп'ютері для знищення інформації у разі спроби несанкціонованого доступу до неї (з'ясувати місце знаходження організації, яка встановила цю систему);

г) чи є необхідним пароль (додатковий пристрій – електронний ключ) для доступу до інформації (окремих задач,
18

областей даних тощо), яка знаходиться в комп'ютері, чи до окремих й частин; які правила його застосування; чи спричиняє порушення цих правил пошкодження інформації;

д) чи з'єднані (включені) комп'ютери в локальну ме­режу підприємства (фірми), об'єднання; яка схема локальної мережі, основні правила її безпечного використання;

е) чи проводилося обов'язкове резервне копіювання даних з введенням повного протоколу роботи комп'ютера за день; чи є протоколи роботи комп'ютера протягом дня. у яких відповідальних осіб вони знаходяться.

Якщо комп'ютер підключено до мережі ШТЕРНЕТ (ШТРАНЕТ), то попередньо необхідно вилучити договори у керівника підприємства (фірми), де буде проводитися огляд, негайно зв'язатися з мереженим адмшістратором-провайдером вузла, до якого підключено дане підприємство (фірма), та ор­ганізувати за його допомогою вилучення і зберігання елект­ронної інформації, яка належить підприємству (фірмі) або на­ дійшла на його адресу.

Вилучити та вивчити документацію, пов'язану з за без печенням безпеки комп'ютерної інформації на підприємстві (фірмі), що становить інтерес для слідства; вилучити протоколи та резервні копії на вінчестері. За наявності протоколів можна відновити вилучену (стерту) інформацію на вінчестері (магнітному носії).

Перед тим як безпосередньо приступити до огляду, сидячий ознайомлює спеціаліста з поясненнями чи протоколами допитів, вилученою документацією та копіями. Складається та обговорюється план проведення огляду (як безпечно для збереження комп'ютерної інформації війти в приміщення, як відключити комп'ютери від мережі, як зупинити їх роботу тощо).

^ Робочий етап огляду починається з усунення блоку­вання вхідних дверей Слідчий пропонує спеціалісту, який входить до складу слідчо-оперативної групи, виконати дії, спрямовані на недопущення пошкодження інформації Ззовні, наприклад, по модемному, пейджерному чи радіозв’язку. Для цього необхідно:

а) відсторонити співробітників підприємства (фірми)
19

від комп'ютерних засобів та розмістити їх у приміщенні Б яком' виключено використання будь-яких засобів зв'язку.

б) у процесі огляду не приймати допомоги від співробітників підприємства (фірми);

в) вилучити у персоналі пейджери, електронні записні книжки, "ноутбуки", індивідуальні пристрої вимкнення сигна­лізації автомобіля тощо;

г) зафіксувати інформацію на екранах працюючих комп'ютерів фотографуванням чи складанням креслення;

д) вимкнути живлення міні-АТС та опечатати її;

е) скласти схему підключення зовнішніх кабелів до комп'ютерних пристроїв та позначити кабелі для правильного відтворення з'єднання у подальшому;

є) ізолювати комп'ютери від будь-якого зв'язку Іззовні: модемного, комп'ютерної мережі, радіозв'язку;

ж) відключити всі комп'ютерні засоби від джерел жив­лення (у тому числі й від безперебійних джерел):

з) екранувати системний блок комп'ютера в спеціальний футляр.

Водночас Ь діями спеціаліста слідчий візуально фіксує загальну картину місця події, фотографує загальний вигляд обстановки (оглядова зйомка), організує охорону приміщення та спостереження за переміщенням осіб – співробітників під­приємства (фірми). Фіксує вузловою зйомкою місце розташування та зовнішній вигляд комп'ютерних засобів.

Спеціаліст тим часом оперативно виконує дії згідно з планом, розробленим зі слідчим. Зовнішнім оглядом установ­люються такі специфічні обставини стосовно комп'ютерних засобів, які заносяться до протоколу:

а) склад комп'ютерного засобу: наявність системного блоку, монітора, клавіатури, принтера, модема, безперебійного джерела живлення, колонок та інших периферійних пристроїв;

б) розташування пристроїв на передній панелі систем­ного блоку; наявність та види пристроїв зберігання інформації (дисководи), а також пристроїв зчитування кредитних та паро­ льних карт І т. ін. (особливо відмічається наявність не відомих йому пристроїв, наприклад, для знищення інформації);

в) розташування роз'єднань на задній панелі системно-
20

го блоку, наявність та види вмонтованих пристроїв, мереженої плати, модема (відмічається, чи був він підключений до теле­фонної або Іншої лінії зв'язку); наявність портів послідовного та паралельного каналів (зазначається, чи були вони підключені до зовнішніх ліній зв'язку).

^ Завершальний етап огляду включає складання прото­колу, схем, плану. Кабелі, що вимикаються, підлягають маркі­руванню з метою відтворення з'єднання при провадженні на­ступної комп'ютерко-технічної експертизи. Екранований сис­темний блок комп'ютера, принтер, виявлені дискети, магнітні стрічки та інші носії комп'ютерної інформації (наприклад роздруківки) вилучають та опечатують, про що зазначається у ГфОТПКОШ.

У протоколі слідчої дії підлягають обов'язковому опису

1) системний блок:

- розміри блок;

- найменування фірми - виготівника, модель, марка;

- ідентифікаційний номер.

2) принтер:

- розміри;

- найменування фірми - виготівника, модель, марка;

- ідентифікаційний номер,

3) модем:

- розміри;

- найменування фірми - виготівника, модель, марка;

- ідентифікаційний номер;

4) гнучкі магнітні диски (дискети):

- розміри;

- тип:

- найменування фірми - виготівника;

- фірмові та рукописні написи на наклейках (у разі їх наявності).

^ Допит підозрюваного провадиться після затримання. Проте рекомендується готуватися до нього заздалегідь Тому допит проводиться, як правило, після огляду, обшуку та виїмки, а Інколи й після допиту свідків.
21

Зміст допиту підозрюваного визначається його спеці­альністю та формою допуску до комп'ютерної системи. Це може бути "свій" (співробітник колективу комп'ютерної сис­теми, обчислювального центру, програміст, інженер-наладчик та ін.), а також "чужий" (хакер, який проникає в комп'ютерну мережу та знаходиться за тисячі кілометрів від місця виявлення ознак комп'ютерного злочину). У всякому разі треба вияснити його місце знаходження, як часто він його змінював, місце роботи, професію, освіту, взаємовідносини зі співробітниками, уклад життя, сферу інтересів, звички, нахили, коло знайомих, навички програмування, ремонту та експлуатації обчи­слювальної техніки, яку апаратуру він має, де і на які кошти її придбав тощо.

Допитуючи свідків, треба встановити дані про ознаки та час порушень роботи в комп'ютерній системі або мережі, як часто порушення відбувалися, у чому виявлялися. Особливу увагу слід приділити збиранню інформації про операторів, програмістів: які порушення встановлених правил оформлення та проходження документів вони допускали, як часто в їх роботі виникали випадки розбіжностей між даними бухгалтерського, машинного та інших видів обліками; які невідповідності спостерігалися в машинограмах та інших документах, підго­товлених такими особами.

Отже, якщо ознаки комп'ютерного злочину встановлено та їх достатньо для порушення кримінальної справи і початку розслідування, то, на думку автора, виникають три слідчі ситуації, а саме:

- вчинено неправомірний (несанкціонований) доступ у комп'ютерну систему чи мережу;

- вчинено комп'ютерний злочин, пов'язаний із ство­ренням та розповсюдженням шкідливих програм;

- вчинено злочин, пов'язаний з порушенням правил експлуатації комп'ютерної системи чи мережі.

22

^ IV. ОРГАНІЗАЦІЙНІ ТА ТАКТИЧНІ ОСОБЛИВОСТІ

СЛІДЧИХ ДІЙ НА ПОДАЛЬШИХ ЕТАПАХ

РОЗСЛІДУВАННЯ
Наведені вище три ситуації визначають загальний на­прям розслідування, оскільки кожна з них відображує лише рі­зновид одного й того ж комп'ютерного злочину. Звідси плану­вання починається з будування загальних версій, спрямованих на максимально повне виявлення обставин, що підлягають до­казуванню. К.С. Скоромников запропонував головні версії. Наведемо деякі з них з невеликими змінами1.

1. Установлення факту несанкціонованого проникнення в інформаційну комп'ютерну систему або мережу.

2. Установлення місця несанкціонованого проникнення в комп'ютерну систему чи мережу

3. Установлення часу вчинення злочину.

4. Установлення виду та надійності захисту комп'ю­терної інформації.

5. Установлення способу несанкціонованого проник­нення в комп'ютерну систему чи мережу.

6. Установлення осіб, які вчинили комп'ютерний зло­ чин.

7. Установлення шкідливих наслідків, матеріальної шкоди.

8. Установлення причин та умов, які сприяли вчиненню злочину.

Розглянемо організаційно-тактичні дії слідчого в типових ситуаціях, додержуючись цієї схеми розслідування.

^ 1. Вчинено неправомірний доступ в комп'ютерну систему чи мережу. Система може являти собою окремий комп'ютер з його терміналом (принтер, модем, телефон) або сукупність комп'ютерів, поєднаних засобами зв'язку. З'єднання невеликої кількості комп'ютерів у межах установи, фірми, району, міста створюють локальні мережі. З'єднання на рівні країни чи декількох країн формують глобальні комп'ютерні

______________________

1 Див. Скоромников К.С. Расследование преступлений в сфере ком­пьютерной информации // Руководство для следователей. – М, 1997. – Гл.42
23

мережі типу ШТЕРНЕТ, які являють собою об'єднання майже всіх країн світу

Проникнути в комп'ютерну систему можна двома шляхами

а) за допомогою комп'ютера, який належить конкретній організації, фірмі (у цьому разі злочинця слід шукати серед "своїх"),

б) Із термінала будь-якого Іншого комп'ютера, який входить в локальну або глобальну комп'ютерну мережу

^ Установлення місця проникнення починається я з'ясування структури комп’ютерної мережі Якщо це локальна система, яка містить у собі два чи три комп'ютери (установа, фірма), то достатньо екранувати (захистити) комп'ютери від зовнішнього електромагнітного впливу та здійснити їх огляд за участю спеціаліста Зафіксувати загальний технічний стан комп'ютерів, наявність Інформації, яка зберігається, провести огляд, обшук, виїмку документів Інструкцій, що регулюють правила експлуатації та допуску до роботи на комп'ютері, протоколів, журналів тощо

Провести допити осіб, які мають доступ до працюючої комп'ютерної системи Під час допшу встановлюють, як часто спостерігалися збої в комп'ютері, хто в цей час працював на Інших комп'ютерах локальної системи, якими користувалися дискетами (із записами чи чистими), як давно та за чиєю участю поновлювалися коди, паролі та Інші захисні засоби, хто приносив на роботу дискети, диски під приводом комп'ютерної гри або перезапису Хто з робітників часто здійснює різні перезаписи, цікавиться роздруківками операторів Інших комп'ютерів локальної системи І т ш

Треба мати на увазі, що місце несанкціонованого про­никнення може бути безпосереднім або віддаленим (опосеред­кованим) Іншими комп'ютерними системами. Безпосереднє місце, в свою чергу, може бути очевидним у разі механічного впливу на матеріальну систему (наприклад, пошкодили якусь схему чи викрали диск І т ш ), або коли злочинець пошкоджує програмні засоби чи Інформацію, що зберігається в комп'ютерному банку, як з безпосереднього, так І з будь-якого віддаленого комп'ютера
24

Складніше встановити місце проникнення, оскільки в такій системі, як ШТЕРНЕТ, мільйони комп'ютерів І з кожного, володіючи певними знаннями, можна проникнути в будь-яку індивідуальну систем Для вирішення такого завдання треба проводити попереднє спеціальне дослідження, запроїт вати спеціалістів або призначати експертиз

^ Установлення часу вчинення злочин – менш складне завдання, оскільки в комп'ютерах установлено поточний час. яким \сі операції (незаконне проникнення та введення будь-якої інформації) фіксуються з точністю до хвилин І секунд в оксрашвнш пам'яті ЦІ сліди проникнення та характер злочинної операції можна встановити шляхом слідчого огляд комп'ютера чи роздруківок або перегляду дискет, а також шляхом допит свідків н числа співробітників даної комп’ютерної системи

^ Спосіб вчинення комп'ютерного злочин є очевидним прІ-> безпосередньому проникненні та прихованим при фізическом проникненні з віддаленого місця вчинення злочин Інколи встановити його можна шляхом допиту свідків Ь числа співробітників комп'ютерної локальної мережі провадженням судової комп'ютерно-технічної експертизи Перед експертом звичайно ставлять питання 'У який спосіб міг блти вчинений несанкціонований доступ до даної комп'ютерної системи9"'

Для встановлення способу вчинення злочин може быти проведено слідчий експеримент з метою можливості подолати (зламати) захист комп’ютерної системи одним Ь запро­понованих способів Слідчий експеримент нерідко дає змог встановити характер дій оператора, умисна чи не умисна від­булася зміна, збій системи

^ Установлення особи, яка вчинила злочин, є одним з головних завдань наступного етап розслідування Дії слідчого щодо встановлення фактів доступу, способ та час прони­кнення в комп’ютер систем так чи Інакше спрямовані на рОдІЩк злочинця Огляд, виїмка, допит, слідчий експеримент т~а судова комп'ютерно-технологічна експертиза дають змогу визначиш коло підозрюваних осіб Допитуючи підозрюваного, слід пам’ятати, що несанкціонований доступ до закритої комп'ютерної системи чи мережі може здійснити лише спе-
25

ціаліст. Тому пошук треба починати з технічного персоналу пошкодженої комп'ютерної системи чи мережі, розробників відповідних систем, операторів, програмістів, інженерів зв'язку, спеціалістів по захисту інформації та інформаційних комп'ютерних систем.

У осіб, які підозрюються в несанкціонованому доступі до комп'ютерної інформації, уразі наявності достатніх підстав проводиться обшук за місцем роботи та проживання. Під час обшуку звертають увагу на комп'ютери різних конфігурацій, принтери, засоби телекомунікативного зв'язку з комп'ютер­ними системами, пейджери, записні книжки (у тому числі й електронні), дискети, компакт-диски, магнітні стрічки, що містять відомості про коди, паролі, ідентифікаційні номери користувачів комп'ютерною системою, а також дані про її користувачів. Проникнення в комп'ютерне приміщення треба здійснювати, додержуючись правил, які дають змогу виключити пошкодження або знищення слідів злочину безпосередньо особою, яка обшукз'сться, чи і ззовні її співучасниками. Розро­блені спеціальні правила огляду комп'ютерних злочинів цілком можна використовувати для проведення обшуку1

Отже, для вирішення першої слідчої ситуації прово­дять такі'слідчі дії: огляд, затримка, обшук, виїмка, допит, слідчий експеримент та інформаційно-технічна експертиза.

2. Вчинено комп'ютерний злочин, пов'язаний із створенням та розповсюдженням шкідливих комп'ютерних програм. Шкщпива програма – це умисно створена коротка програма, введення якої в комп'ютерну систему пошкоджує деякі або всі її функції загальносистемних програм, знищує якусь конфіденційну інформацію, яка зберігається в комп'ютері Більшість таких програм називається "віруси", які в певному смислі нагадують поведінку живих організмів. Вони можуть протягом тривалого часу не проявляти себе, "мовчати" до певного моменту чи події, а потім "ожити" та вивести систему з-під контролю.

________________________

1 Див.: Денисюк С.Ф., Шепитько В.Ю. Обыск в системе следственных действий. – Харьков, 1999; Коновалова В.Е., Шешпъко В.Ю. Обыск: тактика й психология. – Харьков, 1997.
26

Розслідування починається з установлення сутності шкідливих наслідків несанкціонованого доступу (крадіжка грошових коштів чи матеріальних цінностей, знищення, зміна, блокування інформації або наявність комп'ютерного вірусу).

Перш за все проводяться слідчий огляд та допит свідків Ь кола працюючих з комп'ютерною системою чи мережею. Під час установлення підозрюваних осіб серед "своїх" чи "чужих" розробляється план збирання належної інформації оперативно-розшуковими заходами та слідчими діями, прова­дженням судової експертизи комп'ютерних засобів, судово-бухгалтерською експертизою банківських машинних операцій.

Крадіжка грошових коштів вчиняється найчастіше в фінансово-банківських системах. Сліди таких крадіжок зви­чайно виявляють самі робітники банків. Інколи встановлюють їх у ході оперативно-розшукових заходів.

Під час допиту свідків, які підозрюються, із числа своїх користувачів системою та сторонніх осіб необхідно вия­снити: вид перешкод, за яких обставин вони були виявлені, яку інформацію пошкоджено, а яка залишилася не зіпсованою. При цьому треба пам'ятати, що не всякі зміни є умисними. Часто причиною стає випадковий збій. Статистика свідчить, що в більшості російських фірм у середньому один раз на місяць у мереженому пристрої та засобах програмного забезпечення відбуваються збої. Слід пам'ятати, що нерідко трапляються випадки, коли крадіжки грошових коштів банк списує саме на технічні збої системи. Якщо це відбувається надто часто, то можна припустити, що на даному підприємстві вчиняється крадіжка грошових коштів за допомогою комп'ютерних опе­рацій.

Особливістю розслідування комп'ютерних злочинів є тісний взаємозв'язок слідства з органом дізнання внутрішніх справ, служби безпеки, податкових Інспекцій на всіх етапах розслідування. Нерідко слідчий після допиту свідків, які підо­зрюються, розробляє з оперативними робітниками план зби­рання Інформації оперативно-розшуковими заходами, для чого в орган дізнання направляє окреме доручення, до якого бажано додавати план перевірочних дій щодо збирання інформації Звичайно такі сумісні дії слідчого та органу дізнання переду-
27

ють затриманню, обшуку за місцем проживання та проведенню допиту підозрюваного або обвинуваченого залежно від обставин, що склалися

Існує багато способів розповсюдження шкідливих про­грам, наприклад, у разі запуску програм з дискети, переписаної з Іншого комп'ютера чи куплено), одержаної в обмгч або / електронної дошки об'яв (ВВ8) У цих випадках провадженням комп'ютерної або Інформацшно-комп’ютерної експертизи можна вирішити питання по суті, тобто виявити, які зміни было проведено та якими засобами

Установлення злочинця, який виготовив та розповсю­джує шкідливі програми, можливе як слідчим, так І оперативним шляхом Важливо визначити вид програми, у разі наявності вірусу – його різновид Розповсюдження вірусів може відбуватися умисно особою, яка має доступ до системи, пбо випадковим працівником, у функції якого не входить робота з комп'ютерним обладнанням

Особи, які створюють шкідливі програми, – це квалі­фіковані програмісти, розробники програм, шженерк-експлуатацшники електронно-обчислювальних систем тому, визнаючи коло осіб, треба скласти список запідозрених осіб не тільки тих, хто працює у даному закладі, фірмі, але й на найближчих станціях комп'ютерного зв'язку Оперативним шляхом виявити тих, хто в місті чи області, в комп'ютерним коледжах, школах або технікумах має доступ до IНТЕРНЕТа,' перш за все– до локальної системи

Шкідливу програму злочинець звичайно розробляє на робочому місці, приховуючи дії від оточуючих співробітників Створення програми відбувається поза сферою його діяльності і безпосередньої функціональної діяльності комп'ютерної системи На факт створення шкідливої програми посередньо можуть вказати а) підвищена зацікавленість до алгоритмів фун­кціонування системи, Інформаційного захисту, вхідної та ви­хідної інформації особи, в коло обов’язків якої це не входить, б) раптова захопленість програмуванням, наприклад оператора Для встановлення факту розповсюдження шкідливих програм необхідно провести виїмку та огляд таких документів 1) журналів обліку (робочого часу, доступу до обчислювальної
28

техніки, збош та ремонт, реєстрації користувачів комп’ютерною системою чи мережею, проведення регламентованих робіт), 2) ліцензійних угод та договорів на користування про­грамними продуктами та їх розроблення, 3) книг паролів, 4) наказів та Інших документів, які регламентують роботу станови Більшість документів зберігається в електронній формі, діл їх вилучення треба запрошувати спеціаліста

^ 3. Порушено правила експлуатації комп’ютерних систем або мереж. Вирішення третьої ситуації починається з установлення факту порушення експлуатації комп'ютерної си­стеми чи мережі Особливість даної ситуації полягає в тому, їло порушення правил можна здійснити з робочого місця кон­кретної комп'ютерної мережі установи, фірми або з Іншого комп'ютера, що знаходиться на будь-якій сіанца комп’ютерної мережі У першому випадку коло підозрюваних осібо омсжено персоналом, який обслуговує комп'ютерну систему та має доступ до неї, а в другому – установлення особи та ш-шлх обставин потребує спеціального дослідження структури мережі та руху Інформації V ній Звернемося до першого ви­падку.

Якщо це локальна комп'ютерна система, то при виявленні ознак порушення правил експлуатації системи виникають дгІ ситуації а) керівник установи повідомляє в органи служби Інформаційної безпеки об’єкта, які проводять службове (відомче) розслідування, б) у разі надходження повідомлення (заяви) до прокуратури проводиться дослідна перевірка Отже, кримінальна справа може бути порушена як за матеріалами відомчого розслідування, так І за результатами перевірки повідомлень чи заяв на загальних підставах

У першому І другому випадках розслідування почина­ється з огляду робочих місць співробітників, виїмки документів, які регулюють правила роботи користувачів комп'ютерною системою, та допиту як свідків усіх співробітників, що мають доступ до комп'ютерної системи Огляд І виїмку документів треба здійснювати за участю спеціаліста Допит свідків ДЛЩ починати після вивчення документації, яка регулює роботу комп’ютерної системи У кожного свідка необхідно вияснити орієнтовно такі обставини а) які у нього обов'язки при
29

роботі з комп'ютерною системою і взагалі в даній організації, фірмі; б) яку конкретно роботу на комп'ютері чи іншому об­ладнанні він виконує; в) яку роботу виконував свідок, коли відбувалися збій, зміни, блокування інформації; г) де і як по­винні фіксуватися факти знищення, зміни, блокування інформації; д) чи пов'язані зміни, які відбувалися в комп'ютерній мережі, з порушенням правил експлуатації'.

Аналізуючи матеріали службового (відомчого) розслі­дування, документи, які одержані в ході виїмки, результати огляду автоматизованих робочих місць (АРМ) та показання свідкш, можна побудувати версії о про місце, час та особу, яка порушила правила експлуатації комп'ютерної системи. Склад­ніше встановити ці обставини при порушенні правил експлуатації комп'ютерних мереж.

Локальні комп'ютерні системи та комп'ютери окремих користувачів можуть бути з'єднані засобами електронного зв'язку та створювати глобальні мережі типу ШТЕРНЕТ. Для початку розслідування треба знати, як обладнані мережа, комп'ютерна система, де відбулися збої (зміни) та Інші пору­шення, які спричинили матеріальну шкоду; як вони з'єднані і найближчими робочими станціями. Порушення правил експлуатації може викликати блокаду, збої в конкретній комп'ютерній системі.

Перш за все необхідно визначити місця, де за схемою розгортання мережі розташовані робочі станції, які можуть бути дисковими і без дисковими. Можливе порушення правил експлуатації, копіювання файлового сервера на свою дискету, використання дискети з різними програмами, у тому числі й з комп'ютерними вірусами. Ці дії виключені на без дискових ро­бочих станціях. Тут як свідкш можна допитати адміністратора мережі та спеціалістів, що обслуговують файловий сервер, в якому відбулися зміїш, збої, знищення інформації'. Під час до­питу необхідно вияснити, на якій робочій станції могли бути порушені правила експлуатації комп'ютерної мережі; де вона розташована, чи могло бути порушено правило експлуатації Е конкретній локальній обчислювальній мережі на робочій станції, яка знаходиться у визначеному місці. Якщо правила експлуатації порушено безпосередньо на файловому сервері, то
30

місце порушення правил може збігатися з місцем настання шкідливих наслідків.

Для встановлення місця порушення правил експлуатації мережі призначається інформаційно-технічна експертиза.

Спосіб порушення правил сксплз'атації може бути ак­тивним І пасивним. Активний спосіб полягає в самостійному виконанні непередбачених операцій при комп'ютерному об­робленні інформації, а пасивний передбачає невиконання певних вимог, приписаних правилами (інструкціями), які забезпечують нормальне функціонування комп'ютерної системи чи мережі.

Час порушення правил експлуатації комп'ютерної си­стеми чи мережі визначають оглядом, допитом свідків, виїм­кою та дослідженням документації, яка регулює нормальну роботу мереж. Фіксують випадки вимкнення електромережі, коли можливе миттєве знищення введеної в комп'ютер інфор­мації. Момент вимкнення збігається з моментом порушення правил експлуатації. Проте можливим є розрив у часі між по­рушенням правил та моментом настання шкідливих наслідків, наприклад, через внесення в програму змін шкідливі наслідки можуть настати пізніше за порушення правил експлуатації. Злочинець може запрограмувати на певний час зупинення ке­рованої виробничої системи (так був зупинений складальний конвейєр на АвтоВАЗі, про що уже згадувалося раніше) або "підірвати" банк даних "логічною бомбою" і т. ін.

Установлення названих вище обставин спрямовано на виявлення злочинця та місця його знаходження. Визначаючи коло запідозрених, а потім – підозрюваних осіб, слід врахо­вувати, що не кожна особа, яка має доступ до комп'ютерної системи чи мережі, може бути порушником правил експлуатації. Для цього необхідно, щоб особа мала допуск для виконання роботи з комп'ютерною інформацією. Такий допуск мають лише визначені особи, серед яких І треба шукати порушника Щодо кожного з них необхідно встановити а) посаду, яку він займає; б) освіту та спеціальність, в) стаж роботи за спеціаль­ністю та на посаді, яку він займає, г) конкретні обов'язки та нормативні акти, якими вони встановлені; д) рівень професійної кваліфікації; е) причетність до розроблення та впроваджен-
31

ня в експлуатацію комп’ютерних систем, е) наївність і а доступ до баз та банків даних, ж) наявність домашньою комп'ютера та пристрою до нього, підключеная до мережі Як уже згадувалося, усе це всіановлюпься шляхом оглядів, до­питів, виїмок, проведенням експертні, дослідженням експлуатаційних документів, машинних чосмв Інформації, роздрмивок.

Про вчинення комп’ютерних злочинів у фінакозо банківській системі, зокрема при крадіжці грошовим коштів свідчать такі обставини ведення платіжних документів без використання сертифікаційних засобів захисту, відсутність контролю за процесами комп кл орної о оброблення платіжних документів.

відсутність роботи щодо забезпечення Інформаційної безпеки,

– порушення технологічного циклу проект звання, розроблення, випробування та здачі автоматизованих банків­ських систем;

– використання незареєстрованих програм Знання цих умов, які сприятимуть запобіганню злочину, є необхідним

^

КОНТРОЛЬНІ ЗАПИТАННЯ



1. Що таке комп'ютерний злочин?

2. Як класифікують комп'ютерні злочини за способом вчинення?

3. Назвати способи незаконного доступу де комп’ютерної системи?

4. Чим розрізняються "незаконний доступ" та "незаконне перехоплення" Інформації?

5. Що являє собою крадіжка час1? Дати характеристику цього способу?

6. Що є предметом безпосереднього посягання комп'ютерного злочину?

7 Якими засобами та способами можна виявити сліди комп'ютерного злочину?
32

ЗМІСТ
І. Поняття комп'ютерних злочинів та криміналістична

класифікація ………………………………………………………… 3
П. Криміналістична характеристика ……………………………… 10
Ш. Особливості порушення кримінальних справ та невідкладні

слідчі дії на початковому етапі розслідування …………………… 15
IV. Організаційні та тактичні особливості слідчих дій

на подальших етапах розслідування ……………………………… 23

^

Навчальне видання



САЛІЕВСЬКИИ Михайло Васильович



ОСНОВИ МЕТОДИКИ

РОЗСЛІДУВАННЯ ЗЛОЧИНІВ,

СКОЄНИХ З ВИКОРИСТАННЯМ ЕОМ




Навчальний посібник



Відповідальний за випуск Г.А. Матусовськш

Редактор В.В. Арнаутова Коректор В. Христенко

Комп'ютерна верстка: Л.С. Чумак
План 2000, дод. поз 2

Підп до друку 15.052000 Формат 84хЮ8'/32 Папір друк №2

Друк офсетний Умови, друк арк. 1,5 Облік.-вид арк. 1,86 Вид № 1
Тираж 500 прим Зам. № 747 Ціна договірна

Редакційно-видавничий відділ

Національної юридичної академії України

61024, Харків, вул. Пушюнська, 77

Друкарня

Національної юридичної академії України 61024, Харків вул. Пушкінська, 77
1   2

Схожі:

Салтевський михайло Васильович основи методики розслідування злочинів, скоєних з використанням еом навчальний посібник Харків 2000 icon“Особливості початкового етапу розслідування злочинів”
Розділ Аналіз методик розслідування злочинів, вчинених організованою злочинною групою
Салтевський михайло Васильович основи методики розслідування злочинів, скоєних з використанням еом навчальний посібник Харків 2000 icon© 2007 Смірнова О. Ю
Даний навчальний посібник присвячений найпопулярнішому текстовому редактору Microsoft Word 2000, що входить до пакету Microsoft Office...
Салтевський михайло Васильович основи методики розслідування злочинів, скоєних з використанням еом навчальний посібник Харків 2000 iconЗагальні відомості Вікно програми Мал. 1
Даний навчальний посібник присвячений табличному процесору Microsoft Excel 2000, що входить до пакету Microsoft Office 2000. Він...
Салтевський михайло Васильович основи методики розслідування злочинів, скоєних з використанням еом навчальний посібник Харків 2000 iconДержавний фінансовий контроль Навчальний посібник
Навчальний посібник рекомендовано до видання науково-методичною радою нук (протокол №1 від 26 лютого 2008 р.)
Салтевський михайло Васильович основи методики розслідування злочинів, скоєних з використанням еом навчальний посібник Харків 2000 iconЗакон України «Про фермерське господарство»
Гайворонський В. М., Жушман В. П. Аграрне право України Навчальний посібник / Харків: Право, 2003. 237 c
Салтевський михайло Васильович основи методики розслідування злочинів, скоєних з використанням еом навчальний посібник Харків 2000 iconЗакон України «Про фермерське господарство»
Гайворонський В. М., Жушман В. П. Аграрне право України Навчальний посібник / Харків: Право, 2003. 237 c
Салтевський михайло Васильович основи методики розслідування злочинів, скоєних з використанням еом навчальний посібник Харків 2000 iconДмитриченко М. Ф., Навчальний посібник
Вища освіта І болонський процес / Дмитриченко М. Ф., Навчальний посібник. К.: 2006. 440 с
Салтевський михайло Васильович основи методики розслідування злочинів, скоєних з використанням еом навчальний посібник Харків 2000 iconДмитриченко М. Ф., Навчальний посібник
Вища освіта І болонський процес / Дмитриченко М. Ф., Навчальний посібник. К.: 2006. 440 с
Салтевський михайло Васильович основи методики розслідування злочинів, скоєних з використанням еом навчальний посібник Харків 2000 iconДмитриченко М. Ф., Навчальний посібник
Вища освіта І болонський процес / Дмитриченко М. Ф., Навчальний посібник. К.: 2006. 440 с
Салтевський михайло Васильович основи методики розслідування злочинів, скоєних з використанням еом навчальний посібник Харків 2000 iconДмитриченко М. Ф., Навчальний посібник
Вища освіта І болонський процес / Дмитриченко М. Ф., Навчальний посібник. К.: 2006. 440 с
Додайте кнопку на своєму сайті:
Школьные материалы


База даних захищена авторським правом © 2014
звернутися до адміністрації
uchni.com.ua
Головна сторінка