Материал: Улейчик В.В. Особенности квалификации и расследлвания преступлений, связанных с нарушением авторских прав

7. ОСОБЕННОСТИ ПРОИЗВОДСТВА ОТДЕЛЬНЫХ СЛЕДСТВЕННЫХ ДЕЙСТВИЙ

После возбуждения уголовного дела важнейшими задачами, стоящими перед органами предварительного следствия, являются установление всех обстоятельств преступления, входящих в предмет доказывания, изобличение виновных лиц и привлечение их к уголовной ответственности, обеспечение возмещения материального ущерба, причиненного преступлением, установление причин и условий, способствовавших его совершению. Решение поставленных задач достигается путем проведения комплекса следственных действий, содержание которого зависит от предмета и способа совершенного преступления, связанного с нарушением авторских и смежных прав в информационно-коммуникационных сетях (перечень может изменяться и дополняться).

При производстве предварительного расследования по делам данной категории наиболее часто проводятся рассмотренные ниже следственные действия.

В целях недопущения утраты доказательств после возбуждения уголовного дела следует незамедлительно произвести выемку и обыск.

Выемка производится в соответствии со ст. 183 УПК РФ.

Одним из наиболее распространенных следственных действий на первоначальном этапе расследования является выемка, которая производится в целях изъятия документов и технических устройств (ПЭВМ, серверов, роутеров и т.п.), находящихся в учреждениях, организациях, на предприятиях, о месте нахождения которых известно следствию.

При проведении данного следственного действия необходимо иметь в виду, что часть документов и оборудования может быть изъята в процессе предварительной проверки или осмотра места происшествия.

Своевременное проведение выемки лишает преступников возможности скрыть от следствия или уничтожить документы и предметы, имеющие доказательственное значение.

По уголовным делам о нарушении авторских прав на аудиовизу-

71

альные произведения и программы для ЭВМ в сети «Интернет» выемки обычно проводятся:

ворганизациях и у индивидуальных предпринимателей, обеспечивающих организацию и функционирование локальных сетей, с целью изъятия серверов и иного коммуникационного оборудования;

ворганизациях, предоставляющих телематические услуги связи (оператор связи, оказывающий услуги по предоставлению доступа к информационно-телекоммуникационной сети Интернет), с целью изъятия документов о сетевой активности абонента, его сетевом адресе и т.п.;

ворганизации-регистраторе доменных имен в доменной зоне «RU», закрепленной за Российской Федерацией, с целью изъятия документов и получения данных о лице, осуществившем регистрацию доменного имени;

у оператора единой автоматизированной информационной системы «Единый реестр доменных имен, указателей страниц сайтов в сети Интернет и сетевых адресов, позволяющих идентифицировать сайты в сети Интернет, содержащие информацию, распространение которой в Российской Федерации запрещено» о нахождении электронного ресурса в едином реестре;

у провайдера хостинга (хостинговой компании), иными лицами, обеспечивающими размещение в информационнотелекоммуникационной сети, в том числе в сети Интернет, информационных ресурсов, с целью изъятия документов (договоров и т.п.) на предоставление услуг по размещению информационных ресурсов в информационно-телекоммуникационной сети, в том числе в сети Интернет, а при необходимости – устройств.

Кроме того, при необходимости изымаются:

сведения из Единого государственного реестра юридических лиц (ЕГРЮЛ);

юридическое дело организации, в том числе в целях проверки ведения фактической деятельности организацией;

документы (приказы, распоряжения), закрепляющие и распределяющие служебные обязанности между руководителями организации;

информация о телефонных соединениях абонента с указанием базовых станций за определенный период времени, а также о номерах телефонов, с которых были сделаны звонки определенному абоненту.

Также проводится выемка электронных носителей информации, денежных средств и соответствующих документов, полученных по

72

результатам проведения оперативно-розыскных мероприятий (проверочная закупка и др.).

При производстве выемки изъятие электронных носителей информации производится с участием специалиста84.

Значительно чаще по делам указанной категории проводятся обыски.

Обыск. В ходе обыска подлежат обнаружению, фиксации и изъятию компьютерная техника и различное коммуникационное оборудование, приспособления, инструменты, предметы, документы и материалы, используемые для совершения указанных видов преступлений.

В частности, по месту жительства (пребывания) и работы подозреваемого (обвиняемого) в совершении преступлений, связанных с нарушением авторских прав на аудиовизуальные произведения и программы для ЭВМ в сети Интернет, изымаются:

системный блок, ноутбук, коммуникационное оборудование и иная компьютерная техника85, использовавшаяся для совершения преступного деяния;

различные накопители информации (электронные носители информации);

черновые записи (могут содержать параметры подключения к сети, различные логины и пароли, иную информацию, подтверждающую нарушение авторских прав на аудиовизуальные произведения и программы для ЭВМ в сети Интернет);

мобильные устройства связи (мобильные телефоны, смартфоны, планшетные компьютеры и т.п.).

Федеральным законом от 28 июля 2012 г. № 143-ФЗ «О внесении изменений в Уголовно-процессуальный кодекс Российской Федерации» в ст. 182 и 183 внесены изменения (п. 9.1 ст. 182, п. 3.1 ст. 183 УПК РФ), согласно которым при производстве обыска и выемки электронные носители информации изымаются с участием специалиста.

При производстве указанных следственных действий необходимо учитывать, что злоумышленником может использоваться шифрова-

84 Также участие специалиста необходимо и в ходе производства оперативнорозыскного мероприятия для легализации изъятых электронных носителей информации.

85 Переносные персональные компьютеры (ноутбуки), персональные компьютеры, выполненные в виде моноблока, персональные компьютеры, имеющие типовые формфакторы системного блока («mATX», «ATX», «Nettop» и т.п.), терминальные компьютеры, которые могут не иметь в своем составе цифровых носителей информации, планшетные компьютеры.

73

ние файлов или разделов диска компьютера. Поэтому, если при проведении следственного действия компьютер находится во включенном состоянии, специалисту рекомендуется произвести сохранение слепков (образов) оперативной памяти для обеспечения возможности

еепоследующего анализа86.

Воперативной памяти компьютера можно обнаружить ключи для расшифровки содержимого криптоконтейнеров (TrueCrypt, BitLocker и PGP Disk). Также анализ образа оперативной памяти позволяет «просмотреть» последние сообщения, полученные и отправленные через социальные сети; комментарии, оставленные на форумах; сообщения, переданные с помощью программ мгновенного обмена сообщениями или с использованием чатов, встроенных в электронные игры. Там можно найти информацию о последних скачанных файлах. В памяти компьютера какое-то время хранятся страницы и изображения с веб-сайтов – даже если в браузере включен режим защиты приватности, отключен кеш и сохранение истории посещений. Кроме того, доступно большое количество системной информации, загруженные ветки реестра, распакованные и расшифрованные версии защищенных программ, информация об открытых сетевых соединениях. Если компьютер заражен вирусом или на нем запущена троянская программа, то при исследовании образа памяти их будет хорошо «видно».

При проведении обыска (выемки) следует в первую очередь исключить возможность уничтожения данных средствами удаленного администрирования. Это может достигаться отключением компьютера (локальной сети организации) от сетевого шлюза и запрета лицам, находящимся в обыскиваемом помещении, приближаться к компьютеру(ам) и пользоваться мобильными телефонами. Однако в этом случае будут отключены сетевые сессии подключения к облачным хранилищам, серверам терминалов и удаленным базам данных, что делает недоступным их исследование.

Определяя порядок производства следственного действия, следователю после консультации со специалистом требуется определить

86 Для сохранения содержимого оперативной памяти компьютера для последующего изучения достаточно любой USB-флешки, способной полностью вместить содержимое оперативной памяти, и небольшой программы – к примеру, бесплатной утилиты российской разработки Belkasoft RAM Capturer. Программа предназначена для помощи в проведении анализа оперативной памяти компьютера в режиме «офлайн» и предоставляет возможность снять образ памяти компьютера под управлением 32- и 64-разрядных версий Windows, сохранив его в файл для последующего анализа.

74

имеется ли вероятность уничтожения данных на компьютере, а при наличии такой угрозы какая информация для него более ценная: информация, находящаяся на носителях информации либо информация, находящаяся удаленно. Также необходимо определить порядок выключения компьютерной техники (применение штатной процедуры выключения или прерывание энергопитания, чтобы не дать сработать программам, очищающим лог-файлы при завершении рабочей сессии, либо если есть предположение об использовании программного обеспечения, удаляющего данные при штатном выключении).

Еще одной опасностью для обеспечения сохранности данных являются устройства экстренного уничтожения информации. Такие устройства представляют собой контейнеры, в том числе с автономным питанием и дистанционным управлением (с помощью проводной кнопки, по беспроводным каналам связи), которые могут с помощью импульса магнитного поля полностью уничтожить структуру данных магнитного носителя информации, например, накопителя на жестких магнитных дисках (НЖМД). При этом такие контейнеры могут быть встроены в системный блок, и визуально их наличие не определяется. В большинстве случаев удаленная подобным образом информация восстановлению не подлежит.

Изъятие мобильных телефонов не отличается от изъятия других носителей информации. В памяти мобильных устройств связи (мобильные телефоны, смартфоны, планшетные компьютеры и т.п.) может находиться важная доказательственная и ориентирующая информация, находящаяся на встроенной флэш-памяти либо на установленной в соответствующий разъем телефона microSD-карте.

При изъятии мобильного телефона требуется указать в протоколе модель телефона, серийный номер (если имеется), IMEI (международный идентификатор мобильного оборудования). Если телефон находится во включенном состоянии, то можно попытаться узнать номер телефона с помощью соответствующей команды USSD87. B протоколе указывается номер ICCID88 SIM-карты поставщика услуг подвижной мобильной связи и его наименование. Полезным может оказаться выявление PIN-кода для дальнейшего исследования памяти

87 Набрать *#06# и кнопку вызова на телефоне. IMEI телефона выглядит как 15-ти значный цифровой код. IMEI код продублирован под аккумуляторной батареей телефона, на упаковке и в гарантийном талоне.

88 Уникальный серийный номер SIM-карты. Обычно именно этот код печатается на SIM-карте. Длина ICCID – 19 цифр.

75