Материал: 422

перехвата за счет применения специального оборудования и программного обеспечения.

Специфика этого оперативно-разыскного мероприятия в том, что данные, которые подлежат съему, находятся в электронно-цифровой форме. Полученные данные записываются или копируются на определенные физические носители информации: карты памяти, жесткие диски и др.

Снятие информации с технических каналов связи осуществляется сотрудниками оперативных подразделений правоохранительных органов. Это также могут сделать сотрудники организаций – владельцев технических каналов и соответствующих данных.

Результаты снятия информации фиксируются сотрудником оператив-

ного подразделения в рапорте или справке, к которым прилагаются соответствующие носители (помещенные в упаковку и опечатанные) с полученными сведениями, а также, если есть необходимость, распечатки данных сведений

[80, с. 82].

В настоящее время широко распространена ІР-телефония. Часто данный вид связи комбинируется с обычной и/или мобильной телефонной связью. В такой ситуации следует иметь в виду, что, помимо снятия информации с технических каналов связи, следует также проводить такое оперативно-разыскное меро-

приятие, как прослушивание телефонных переговоров.

Результаты прослушивания переговоров по их целевому использованию можно условно разделить на три категории:

1)результаты прослушивания переговоров информационного характера: данные о связях объекта разработки, механизме встреч и передачи информации, местах хранения электронных носителей информации, денежных средств, о внешности, одежде, автотранспорте и т. д.

Эти данные имеют большое значение при проведении такого следственного действия, как обыск. Так, знание места хранения средств и орудий совершения киберпреступлений позволяет принять меры, препятствующие уничтожению (удалению) файлов на компьютере преступника, потере денежных средств, полученных в результате преступной деятельности;

2)результаты прослушивания переговоров, используемые для принятия решений при проведении мероприятий: данные о конкретном месте и времени встречи участников организованной преступной группы и др.;

3)результаты прослушивания переговоров, составляющие доказательственную базу (например, данные о логинах и паролях, инструментах кибератак).

Материалы с переговорами могут и должны быть применены при допросах подозреваемых, обвиняемых или свидетелей (время их применения при допросах следователь определяет самостоятельно, а при продолжении оперативной разработки преступной группы – по согласованию с инициатором разработки). Для допроса и приобщения к делу используются не оперативные сводки, а оформленные в соответствии с требованиями ст. 186 УПК РФ [2] протоколы прослушивания телефонных или иных переговоров, составленные оперативным сотрудником, и звукозаписи переговоров (в том числе на электронных носителях информации).

41

Еще более значимым для расследования уголовного дела является опера- тивно-разыскное мероприятие, связанное с получением компьютерной информации непосредственно с сервера управления20, с помощью которого осуществляется основной объем преступных действий, в том числе отдаются команды на совершение несанкционированных финансовых транзакций. В зависимости от конкретных обстоятельств данное мероприятие может проводиться разово либо в режиме мониторинга. Полученная компьютерная информация может содержать сведения об использовании сервера для несанкционированного доступа к компьютерам пользователей, о наличии на нем вредоносных программ и их функциональных возможностях, о сетевых адресах, с которых осуществляется управление сервером, о совершенных через сервер хищениях в электронных платежных системах и др.

Компьютерная информация, полученная с прокси-серверов21, содержит сведения об адресах серверов управления в конфигурационных файлах настройки, журнальные файлы сетевых подключений, среди которых могут быть сетевые адреса участников преступной группы, осуществлявших настройку и администрирование сервера, а также сетевые адреса компьютеров пользователей, зараженных вредоносной программой, которая через прокси-сервер взаимодействует с сервером управления.

Процесс проведения рассматриваемых оперативно-разыскных мероприя-

тий связан с некоторыми сложностями, связанными с вычленением из общей массы полученных сведений сообщений подозреваемых. Эти сложности воз-

никают прежде всего тогда, когда идет речь о многопользовательской системе, так как одно и то же идентификационное имя может быть доступно разным пользователям (как и один пользователь может скрываться под разными именами).

Вариантом решения данной проблемы следует признать совершенствование и развитие системы оперативно-разыскных мероприятий, а также создание передвижной лаборатории. В настоящее время на рынке отсутствуют какие-либо предложения по разработке универсальных центров работы специалиста по компьютерным программам. Представляется, что для обеспечения нормальной работы органов предварительного расследования и судов с электронными доказательствами достаточно в каждом субъекте Российской Федерации иметь такую передвижную лабораторию. Опыт использования подобных лабораторий уже имеется: они давно работают для проверки механических следов, взрывных устройств.

Таким образом, применение технико-криминалистических средств при проведении оперативно-разыскных мероприятий с точки зрения криминалистики имеет существенное значение в доказывании вины преступника. Следова-

20Сервер управления – сервер, дающий возможность удаленной настройки отдельных клиентов и их групп, формирования задач для групп клиентов и централизованного хранения их настроек, хранящий информацию о подключенных к нему узлах.

21Прокси-сервер (от англ. proxy – «представитель, уполномоченный»), часто просто прокси, сервер-посредник – промежуточный сервер (комплекс программ) в компьютерных сетях, выполняющий роль посредника между пользователем и целевым сервером.

42

тель может использовать только те доказательства, которые были получены законным путем. Поэтому технико-криминалистическое обеспечение специалистов и оперативных подразделений органов внутренних дел играет важную роль

ворганизации взаимодействия при раскрытии и расследовании преступлений

всфере информационных технологий [76, с. 90].

Из изложенного становится очевидным, что залогом успешного доказывания по уголовному делу является оперативно-разыскное сопровождение следственной деятельности. Наибольшая же вероятность установления всех необходимых для предмета доказывания обстоятельств произошедшего возникает в том случае, когда уголовные дела о преступлениях, совершенных в сфере информационных технологий, возбуждаются в результате реализации оперативных материалов. Эти обстоятельства диктуют необходимость тесного взаимодействия оперативных работников и следователей на всех этапах расследования, в том числе и посредством создания следственно-оперативных групп.

Вопросы для самостоятельного изучения

1.Понятие и содержание обстоятельств, подлежащих проверке и доказыванию в процессе расследования преступлений в сфере информационных технологий.

2.Особенности возбуждения уголовного дела по материалам оперативноразыскной деятельности при совершении преступлений в сфере информационных технологий.

3.Значение и производство специальных исследований при решении вопроса о возбуждении уголовного дела.

4.Криминалистические версии: понятие, виды и классификация. Их значение в раскрытии и расследовании преступлений в сфере информационных технологий.

5.Типичные следственные ситуации и действия следователя на первоначальном этапе расследования преступлений в сфере информационных технологий.

6.Основание и порядок приобщения результатов оперативно-разыскных мероприятий (аудио-, видеозаписи) в качестве доказательств при расследовании преступлений в сфере информационных технологий.

7.Взаимодействие следователя с оперативными подразделениями при проведении специальных технических мероприятий. Порядок использования в деле информации, полученной в ходе оперативно-разыскных мероприятий.

43

ГЛАВА 3. ОСОБЕННОСТИ РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ

ВСФЕРЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

§.1. Тактические особенности производства следственных действий на первоначальном этапе расследования преступлений

всфере информационных технологий

Процесс расследования преступлений сфере информационных технологий обусловливает необходимость производства регламентированных УПК РФ следственных и иных процессуальных действий. При следственных действиях нужно соблюдать ряд правил, поскольку они регламентированы уголовно-процессуаль- ным законом и их результаты могут формировать новые доказательства. Такти-

ческие особенности их производства на первоначальном этапе расследования находятся в прямой зависимости от специфики следообразования и способа совершения преступления.

Согласно результатам проведенного В. В. Коломиновым анализа след-

ственной и судебной практики, наиболее часто проводятся следующие следственные и иные процессуальные действия:

1)осмотр места происшествия, осмотр предметов и документов (по 100 % уголовных дел);

2)допрос лиц, процессуальное положение которых определено (по 100 % уголовных дел). Большая часть – это допросы потерпевших и свидетелей, и в меньшей степени, при установлении виновных лиц, – допросы подозреваемых

иобвиняемых, которые могут проводиться спустя значительный промежуток времени;

3)назначение и производство судебных экспертиз (по 100 % уголовных дел). Компьютерно-техническая экспертиза назначается в 100 % случаев, дактилоскопическая – в 60 %, технико-криминалистическая экспертиза документов – в 55 %, трасологическая – в 25 %, психологическая – в 10 %, иные виды экспертиз – в 5 % случаев;

4)получение образцов для сравнительного исследования (по 80 % уголовных дел);

5)предъявление для опознания (по 25 % уголовных дел);

6)обыск и выемка (по 90 % уголовных дел);

7)очная ставка (по 85 % уголовных дел);

8)следственный эксперимент и проверка показаний на месте (по 65 % уголовных дел);

9)снятие информации с технических каналов связи (по 25 % уголовных

дел);

10) прослушивание телефонных и иных переговоров (по 5 % уголовных дел)

идр. [30, с. 19].

В результате анализа следственной практики, касающейся преступлений в сфере информационных технологий, приходим к выводу о том, что при расследовании преступлений этой категории проводятся, в частности, такие следственные действия:

44

1)осмотр места происшествия;

2)допрос потерпевшего;

3)выемка и последующий осмотр средств электронно-вычислительной техники, предметов, материалов и документов [12, с. 120]. Проведение указанных следственных действий в ходе расследования преступлений в сфере информационных технологий имеет выраженную специфику, связанную с особенностями информационных объектов и необходимостью применения для их обнаружения

ификсации специальных программных и аппаратных средств [59, с. 81];

4)выемка почтово-телеграфной корреспонденции. Наложение ареста на корреспонденцию и выемка ее в почтово-телеграфных учреждениях;

5)допрос свидетеля;

6)допрос подозреваемого (если таковой установлен);

7)обыск на рабочем месте и по месту проживания подозреваемого;

8)назначение судебной экспертизы (чаще других это компьютерно-техни- ческая [51, с. 20], радиотехническая, бухгалтерская экспертизы).

Нужно отметить, что, независимо от направленности следственного действия (поисковое или познавательное, связано с проверкой версии или развитием достоверного знания) и от того, какой способ собирания доказательственной базы является определяющим, всегда деятельность следователя по его произ-

водству складывается из трех стадий:

1)ознакомительно-ориентирующей;

2)непосредственного контактного или бесконтактного взаимодействия с объектом;

3)анализа полученных результатов, упаковки изъятых объектов, завершения процессуального оформления и т. д.

При проведении действий, в частности осмотре места совершения преступлений сфере информационных технологий, следователь сталкивается с рядом

проблем, которые обусловлены спецификой расследования преступлений данной категории. Например, использование преступниками компьютерной техники и технологий определяет участие специалиста при проведении осмотра места происшествия как аксиому [50, с. 82]. Необходимость владения специальными знаниями обусловливает привлечение специалистов из различных областей информационных технологий, в частности инженерии по средствам связи, сетевому обслуживанию, а иногда возникает необходимость привлечения нескольких специалистов одновременно.

По мнению Ю. Г. Гаврилова, при проведении инструктажа следователю,

как руководителю следственно-оперативной группы, необходимо убедиться в компетентности специалиста в указанной области знаний [39, с. 58].

Очевидно, что содействие специалиста оказывает следователю существенную помощь в раскрытии преступлений в сфере компьютерной информации, дает возможность эффективно расследовать дела данной категории. Целенаправленные, грамотные и четко спланированные действия следователя, специалиста и оперативных сотрудников, особенно на начальном этапе расследования, обеспечивают успех дальнейшего расследования преступлений, совершенных с использованием средств компьютерной техники.

45