Более значимым в практическом плане представляется деление следственных ситуаций на следующие группы:
1)конфликтные ситуации, при которых субъект преступления обладает информацией, но умышленно искажает или скрывает ее;
2)бесконфликтные ситуации, при которых субъект преступления объективно передает следователю искомую информацию, не стремится ее искажать или утаивать;
3)слабоконфликтные ситуации, которые возникают в ситуациях допроса, когда допрашиваемый обладает искомой информацией, желает ее передать, но
всилу субъективных или объективных факторов воспринял, запомнил и, соответственно, передает ее с искажениями.
При расследовании дел о преступлениях в сфере компьютерной информации интерес представляет распространенная типичная ситуация, характеризующаяся возникновением конфликта между следователем и потерпевшим, которую можно назвать «парадоксальной конфликтной». В этой ситуации сами потерпевшие оказывают пассивное или активное сопротивление следствию, стремясь скрыть имевшие место обстоятельства преступления, например, пытаясь таким образом защитить репутацию своей организации, не сумевшей сохранить конфиденциальную информацию; опасаясь наказания за свою халатность и т.п. [74, с. 21]. Согласно данным анкетирования, проведенного В. В. Поляковым среди следователей одного из управлений внутренних дел и сотрудников управления Федеральной службы безопасности, такая ситуация при проведении следственных действий встречались в 12 % случаев [75, с. 47].
Особую роль для построения эффективной методики предварительного расследования играет выделение следственных этапов, объединяющих
проверочные и следственные действия в соответствии с имеющей место следственной ситуацией.
Можно выделить этап предварительной проверки полученных сведений о преступлении, а также первоначальный (неотложный), последующий и заключительный этапы расследования. Это, на наш взгляд, оправданно, так как упорядочивает криминалистическую систему знаний при разрешении уголовного дела по существу.
С позиций ситуационного подхода первоначальный этап расследования преступлений в сфере компьютерной информации может быть охарактеризован тремя типичными следственными ситуациями, классифицируемыми по субъекту, выявившему преступление:
1)собственник компьютерной информации обнаружил факт преступления и самостоятельно установил преступника;
2)собственник компьютерной информации обнаружил факт преступления, но преступник остается неустановленным;
3)преступление выявили правоохранительные органы [32, с. 468].
В случае когда идет речь о преступлении в сфере компьютерной информации, эта классификация представляется неполной и должна включать, по нашему мнению, еще одну типичную следственную ситуацию: преступление выявлено иным лицом, в качестве которого обычно выступает организация-
36
провайдер, обслуживающая собственника конфиденциальной информации. Отметим, что провайдер также может быть потерпевшим.
Типичная доследственная ситуация на предварительном этапе в случае совершения преступления при помощи удаленного доступа к компьютерной информации характеризуется тем, что потерпевшие (физические или юридические лица) сами обнаруживают преступление. Именно они устанавливают факт снятия провайдером со своих счетов определенных сумм за информационные услуги, которые они не получали, обращаются за разъяснением к провайдеру, а затем с заявлением – в следственные органы.
Пограничная с этой ситуация – при которой доступ к средствам компьютерной техники затруднен из-за умышленных действий опытных и квалифицированных преступников. Такие преступники широко применяют последние научно-технические достижения в области шифрования информации. Стремясь скрыть следы противоправной деятельности, они могут устанавливать специальные программно-аппаратные средства для уничтожения и блокирования значимой для следствия информации при обращении к ней посторонних лиц. В то же время современные технические средства защиты компьютерной информации включают в себя широкий арсенал программноаппаратных эффективных средств криптографической защиты, таких как электронная подпись, электронно-цифровые ключи, свободно продаваемые компьютерными фирмами.
Весьма распространенной ситуацией является заражение криминалистически значимой компьютерной информации вредоносными программами (вирусами). В большинстве случаев это не связано с сокрытием следов преступления или противодействием следствию со стороны преступников.
При производстве следственных действий на данном этапе вызывает сложность проблемная ситуация. Она характеризуется отсутствием заранее определенной, однозначной, жесткой программы нахождения информационных и тактических решений. Проблемную ситуацию отличает неполное, недостаточное знание о том, как было совершено преступление в сфере компьютерной информации, кем оно совершено и каким образом. В связи с этим оптимальным способом разрешения такой ситуации являются построение и проверка следственных версий, ориентированных на предмет доказывания. Повышенную сложность при расследовании представляет установление конкретного лица, совершившего преступление, которое, как правило, на первоначальном этапе неизвестно ни следствию, ни потерпевшим. В силу этого «заранее определенная» программа построения адекватных следственных действий отсутствует, следователю приходится выдвигать версии, которые должны исходить из теоретических знаний и обобщения практики. Именно в этих условиях в большей степени проявляется роль ситуационного подхода и изучения типичных следственных ситуаций в частности [36, с. 112].
На последующем этапе расследования у следователя появляется доказательственная база. На этом этапе типичными ситуациями являются следующие:
1) признание вины обвиняемым;
37
2)полное отрицание вины;
3)частичное признание вины.
Складывающаяся ситуация определяет дальнейшее направление расследования вплоть до принятия следователем окончательного решения по делу.
Следственные ситуации на данном этапе расследования дел о преступлениях в сфере инормационных технологий можно охарактеризовать как преимущественно бесконфликтные или слабоконфликтные. Более того, нередко возникает типичная следственная ситуация деятельного раскаяния, открывающая наибольшие возможности для собирания и исследования доказательств по уголовному делу. В частности, при допросах лица, проявившего деятельное раскаяние, может быть получена ценная информация о других преступлениях, об условиях, сделавших данное преступление возможным, что позволит в дальнейшем предупредить совершение подобных преступлений.
Следует отметить, что при получении признательных показаний в отдельных случаях может потребоваться их проверка, так как возможна ситуация, связанная с принятием вины преступника на себя другим лицом (самооговор). Во многом это связано с тем, что большинство следов компьютерного преступления не имеют персонифицирующего характера. Преступник, для того чтобы избежать ответственности, может прибегать к следующим приемам: шантажу и угрозам физическим насилием, подкупу, использованию доброго отношения к себе со стороны близких ему людей и т. д.
Таким образом, изучение приведенных и других ситуаций, возникающих на предварительном следствии, является основанием для выбора и использования нужной группы криминалистических рекомендаций. Знание этих рекомендаций может в значительной степени способствовать эффективному сбору доказательств по преступлениям, связанным с использованием средств компьютерной техники, особенно по преступлениям, совершенным дистанционно.
§ 2. Организация оперативно-разыскных мероприятий, взаимодействие следователя с органами дознания
при расследовании преступлений в сфере информационных технологий
Успех расследования преступлений в сфере информационных технологий и проведения предварительной проверки в рамках возбуждения уголовного дела
зависит от четкой организации оперативно-разыскных мероприятий и тесного взаимодействия следственно-оперативной группы с другими подразделениями органов внутренних дел.
Борьба с преступлениями в сфере высоких технологий на федеральном уровне осуществляется Управлением «К» МВД России.
Основными задачами этого подразделения являются выявление, предупреждение, пресечение и раскрытие:
1) преступлений в сфере компьютерной информации:
– неправомерного доступа к охраняемой законом компьютерной информации;
38
–создания, использования и распространения вредоносных компьютерных программ;
–нарушения правил эксплуатации средств хранения, обработки или передачи компьютерной информации либо информационно-телекоммуникационных сетей;
–мошенничеств в сфере компьютерной информации;
2)преступлений, совершаемых с использованием информационно-теле- коммуникационных сетей (включая сеть Интернет) и направленных против здоровья несовершеннолетних и общественной нравственности:
– изготовления и распространения материалов или предметов с порнографическими изображениями несовершеннолетних;
– использования несовершеннолетнего в целях изготовления порнографических материалов или предметов.
3)преступлений, связанных с незаконным оборотом специальных технических средств, предназначенных для негласного получения информации.
4)преступлений, связанных с незаконным использованием объектов авторского права или смежных прав [34, с. 3].
На региональном уровне функционируют соответствующие структурные подразделения – отделы «К».
В рамках взаимодействия по уголовному делу, в ходе производства следственных и иных процессуальных действий могут быть привлечены также сотрудники оперативно-технических подразделений правоохранительных органов; специалисты по сетевым средствам вычислительной техники; операторы автономных серверов и персональных электронно-вычислительных машин; администраторы сети электронно-вычислительных машин или электросвязи; специалисты обладающие знаниями об операциях технологического процесса, при которых проявились признаки противоправного деяния; операторы, осуществляющие фото- и видеофиксацию следственного действия.
Сотрудникам оперативных подразделений необходимо тщательным обра-
зом изучить стратегию и тактику применения используемых в расследова-
нии рассматриваемых преступлений форм оперативно-разыскной деятельности, а также особые условия проведения оперативно-разыскных мероприятий.
Под оперативно-разыскными мероприятиями мы вслед за С. И. За-
харцевым понимаем «составную часть оперативно-розыскной деятельности, сведения об организации и тактике которой составляют государственную тайну, представляющую собой совокупность действий специально уполномоченных на то государственных органов и их должностных лиц, осуществляемых с соблюдением регламентированных законом оснований и условий, отвечающую нормам морали и нравственности и непосредственно направленную на достижение целей и разрешение задач оперативно-розыскной деятельности» [25, с. 92].
Сведения, имеющие значение для раскрытия и расследования преступлений в сфере компьютерной информации, могут дать три основных источника:
– во-первых, сообщения осведомленных лиц об обстоятельствах подготовки и совершения преступлений;
39
–во-вторых, электронные ссылки на материалы, запрещенные к распространению (в частности, всякого рода базы данных с личными, финансовыми
идругими сведениями о населении страны);
–в-третьих, следы противоправной деятельности (например, сайты-двой- ники, лог-файлы серверов и др.).
Помимо этого, нужные данные можно найти посредством анализа переписки по электронной почте подозреваемых лиц, журналов сервисов обмена сообщениями в режиме реального времени.
Ключевым критерием эффективного осуществления оперативно-разыск- ных мероприятий в процессе расследования компьютерных преступлений выступает знание и понимание их специфики.
Федеральным законом от 12 августа 1995 г. № 144-ФЗ «Об оперативнорозыскной деятельности» [6] предусмотрены как специальные мероприятия – снятие информации с технических каналов связи и получение компьютерной информации, так и иные мероприятия, в ходе которых может быть произведен поиск, обнаружение и изъятие компьютерных данных.
Система оперативно-разыскных мероприятий осуществляется комплексно и выглядит следующим образом:
–сбор образцов для исследования;
–снятие информации с технических каналов связи;
–получение компьютерной информации;
–исследование;
–прослушивание телефонных переговоров [26, с. 26].
С позиции расследования компьютерных преступлений заслуживает внимания исследование такого оперативно-разыскного мероприятия, как снятие ин-
формации с технических каналов связи.
На наш взгляд, такое оперативно-разыскное мероприятие является ключевым при расследовании всех преступлений в сфере информационных технологий. Кроме того, снятие информации с технических каналов связи выступает
вкачестве одного из перспективных с позиции развития техники и тактики применения.
Технические способы связи, в частности через Интернет, давно стали популярными, между тем получают развитие и иные виды технической связи (например, видео-конференц-связь, ІР-телефония, радиолокационная связь). Ученые полагают, что впоследствии может иметь место разграничение на законодательном уровне нескольких форм снятия информации с технических каналов связи в зависимости от ее вида [См., например: 42, с. 74]. Мы считаем, что
вразделении по такому критерию нет необходимости: классификация различных видов оперативно-разыскных мероприятий по специфике их осуществления согласно ст. 8 Федерального закона «Об оперативно-розыскной деятельности» [6] является максимально эффективной.
Сведения могут находиться в одной из двух форм: статической (хранение на машинном носителе) и динамической (передача по каналу связи). Снятие информации с технических каналов связи производится применительно к сведениям, которые передаются посредством их сбора в реальном времени с помощью
40