В нашей стране большинство хозяйствующих субъектов не сообщает в правоохранительные органы о случаях несанкционированного проникновения в их ЭВМ и компьютерные сети. Некоторые пытаются решить такие проблемы, заставляя свои службы безопасности заниматься противоправной деятельностью за юридическими границами организации, хотя в структуре МВД и ФСБ есть специальные подразделения для расследования подобных преступлений. Возможно, одной из причин такого поведения является слабая готовность собственников и владельцев информации к взаимодействию с органами следствия. Уверен, что целью такого взаимодействия является обеспечение своими средствами благоприятных условий для добывания следствием доказательств противоправных действий. Такое взаимодействие целесообразно только на основе понимания правовых характеристик следственного процесса. Поэтому в статье "Как собственнику компьютерной информации взаимодействовать со следствием в получении доказательств неправомерного доступа к ней" даются содержание и процедуры обеспечения таких расследований на правовых основаниях. Анализируется пример из деятельности ФБР в этой сфере.
In our country the majority of the managing subjects do not inform law enforcement bodies about cases of unauthorized entry in their computer and computer networks. Some attempt to decide such problems, causing the securities to be engaged in illegal activity behind legal boundaries of organization, though in structure of MVD and FSB there are special subdivisions for investigation of similar crimes. Probably, one of the reasons of such behaviour is the weak availability of the proprietors and holders of the information to interaction with bodies of corollary. I am sure, that the purpose of such interaction is the support by the resources of their own of favourable conditions for obtaining by corollary of the proofs of wrongful acts. Such interaction is expedient only on the basis of understanding of the legal characteristics of the investigatory process. Therefore in the paper "As to the proprietor of the computer information to interact with corollary in obtaining the proofs of wrongful access to it" there is given a content and procedures of support of such investigations on legal grounds. The example from activity FBR in this sphere is analyzed.
КАК СОБСТВЕННИКУ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
ВЗАИМОДЕЙСТВОВАТЬ СО СЛЕДСТВИЕМ
В ПОЛУЧЕНИИ ДОКАЗАТЕЛЬСТВ НЕПРАВОМЕРНОГО
ДОСТУПА К НЕЙ
Постоянный
рост числа компьютерных преступлений во всем мире вызывает адекватную реакцию у
правоохранительных органов и спецслужб экономически развитых стран. Так, в США
для повышения эффективности и результативности борьбы с киберпреступностью ФБР
совместно с представителями частного сектора разработало ряд программ,
предусматривающих расширение прямых контактов с владельцами и операторами
компьютерных сетей. Главной целью одной из таких программ IG
(Infra Guard) является
предоставление частным фирмам возможности своевременно информировать
территориальное управление ФБР или NIPC (National Infrastructure
Protection Center) о
вторжениях, что может явиться основанием для начала расследования. Не нарушая
конфиденциальности информации, полученной от компании, ставшей жертвой
компьютерного вторжения, NIPC поставит в известность о случившемся других партнеров
из частного сектора с использованием защищенных Web-страниц и электронной почты. Данная
программа предусматривает широкое партнерство государства и частного бизнеса. К
настоящему времени членами партнерства стали сотни промышленных фирм, включая IBM,
a также региональные
отделения федеральной резервной системы.
Вызывает ли у хозяйствующих субъектов серьезную озабоченность рост числа компьютерных преступлений? Можно встретить мнение специалистов, согласно которому для правоохранительных органов остаются неизвестными 80-90% всех совершенных компьютерных преступлений. Такие масштабы скрытой преступности возможны, по мнению западногерманских экспертов, из-за трудностей в предоставлении доказательств совершения противозаконных действий и нежелания огласки этих компрометирующих фактов со стороны администрации фирм, предприятий или учреждений.
В
нашей стране также большинство хозяйствующих субъектов не сообщает в
правоохранительные органы о случаях несанкционированного проникновения в их ЭВМ
и компьютерные сети. А некоторые пытаются решить такие проблемы, заставляя свои
службы безопасности заниматься противоправной деятельностью за юридическими
границами организации, хотя в структуре МВД и ФСБ есть специальные
подразделения для расследования подобных преступлений. Возможно, одной из
причин такого поведения является слабая готовность собственников и владельцев
информации к взаимодействию с органами следствия. Целью такого взаимодействия
является обеспечение своими средствами благоприятных условий для добывания
следствием доказательств противоправных действий. Такое взаимодействие
целесообразно только на основе понимания правовых характеристик следственного
процесса. Попробуем понять эти характеристики.
Переходить к обеспечению расследований на правовых
основаниях
Уголовным кодексом РФ 1996 г. в главе 28 впервые в отечественном законодательстве установлена ответственность за совершение преступлений в сфере компьютерной информации. Данная глава включает в себя статьи 272, 273 и 274. Глава помещена в разд. 9 “Преступления против общественной безопасности и общественного порядка”. Уголовно-процессуальным кодексом РФ 2001 г. преступления, предусмотренные этими статьями, отнесены к подследственности органов внутренних дел, а также органов, выявивших эти преступления. При возбуждении уголовных дел по этим статьям производится предварительное следствие.
Следующая схема показывает обобщенную криминалистическую характеристику предусмотренных этими статьями преступлений.
К охраняемой законом информации относится документированная конфиденциальная информация следующих видов: персональные данные, коммерческая тайна, патентная тайна, программы для ЭВМ и базы данных, банковская тайна, тайна страхования, налоговая тайна, нотариальная тайна, тайна связи, врачебная тайна, адвокатская тайна, тайна следствия, тайна судопроизводства. Основной способ правовой охраны – отнесение ее к информации ограниченного доступа, что дает правовые основания ее собственнику, владельцу для принятия мер защиты.
Материальной предпосылкой роста компьютерных преступлений является развитие информационных технологий, расширение производства поддерживающих их технических средств и сферы их применения, а также все большая доступность таких устройств и программных средств. Развитие информационных технологий сопровождается возникновением брешей в программном и аппаратном обеспечении, создающим возможности для уязвимости компьютерной информации. Однако рост преступлений в сфере компьютерной информации обуславливается также и следующими факторами:
- высокой доходностью преступлений, в которых информация становится предметом посягательства;
- недостаточностью мер по защите открытых систем ЭВМ от внешних воздействий и закрытых систем ЭВМ от внутренних воздействий;
- не соответствующим угрозам отношением к обеспечению информационной безопасности на основании использования своих прав и обязанностей, предусмотренных Законом РФ "Об информации, информатизации и защите информации";
- низким уровнем специальной подготовки должностных лиц правоохранительных органов, которые должны предупреждать, раскрывать и расследовать преступления в сфере компьютерной информации.
Специалисты отмечают, что по механизму исполнения, способам совершения и сокрытия эти преступления более специфичны, характеризуются высочайшим уровнем латентности и низким уровнем раскрываемости (зарубежная статистика показывает, что из 10 обнаруженных преступлений в сфере компьютерной информации раскрывается одно). К их раскрытию правоохранительные органы оказались не вполне готовы, как признают специалисты, по причине недостаточности научно обоснованных рекомендацией по расследованию преступлений в сфере компьютерной информации и соответствующей подготовки следователей. Однако то же можно сказать и в отношении многих собственников и владельцев компьютерной информации. Взаимная неподготовленность затрудняет эффективную правоприменительную защиту информации. Представляется, что собственники и владельцы информации могут своими мерами обеспечивать деятельность правоохранительных органов на объектах собственности в случаях совершения (подозрения на совершение) против них компьютерных преступлений. Для этого имеется достаточно развитая нормативная база по информационной безопасности, включающая законы: “О правовой охране программ для электронных вычислительных машин и баз данных” от 23 сентября 1992 г.; “О связи” от 16 февраля 1995 г.; “Об информации, информатизации и защите информации” от 20 февраля 1995 г. и другие.
Особенно положительным является то, что сейчас закон РФ “Об авторском праве и смежных правах” от 9 июля 1993 г. с изменениями и дополнениями включает Интернет в поле правового регулирования – правообладатель может требовать компенсации, если будет установлено, если его интеллектуальную собственность украли киберпираты.
Рассмотрим возможности обеспечения деятельности правоохранительных органов по предварительному расследованию преступлений по ст. 272 УК РФ, совершаемых в отношении информации хозяйствующих субъектов.
Основанием для привлечения к уголовной ответственности
по ст.272 УК РФ является наличие трех обязательных признаков, характеризующих
преступление с объективной стороны.
Первым из обязательных признаков является общественно опасное действие по совершению неправомерного доступа к компьютерной информации. Установление неправомерности действий является ключевым обстоятельством для привлечения лица к уголовно ответственности. Иными словами, необходимо доказать, что это лицо не имело полномочий владельца или пользователя информации и получило доступ к информации в результате преодоления мер защиты.
Однако УК РФ не дает определения неправомерного доступа к охраняемой законом компьютерной информации, раскрывая лишь его последствия (см. ниже). Будем считать, что неправомерность доступа может вытекать из нарушения:
- права собственника исключать из состава открытой информацию, отнесенную законом к категории ограниченного доступа;
- права собственности физических и юридических лиц на информационные ресурсы как на элемент состава имущества;
- реализуемого права автора, собственника, информации на ее защиту и регулирование доступа к ней, владельца - на обеспечение уровня защиты.
Вторым из обязательных признаков являются общественно опасные последствия неправомерного доступа в виде уничтожения, блокирования, модификации или копирования компьютерной информации, нарушения работы ЭВМ, системы ЭВМ или их сети.
Сам по себе факт вызова или просмотра компьютерной информации, хранящейся на машинном носителе, состава преступления не образует. Необходимо, по крайней мере, установить факт переноса такой информации на другой машинный носитель. Закон также не дает определения машинного носителя, что, при сегодняшнем многообразии видов машинных носителей, определяемых по способу закрепления информации на них и принципу действия, затрудняет определение состава доказательств совершения правонарушения.
Третьим обязательным признаком является причинная связь между совершенными действиями лица и наступившими вредными последствиями. Для того чтобы наступила ответственность по ст.272 УК РФ, необходимо, чтобы перечисленные в ней последствия были следствием именно неправомерного доступа лица к охраняемой законом компьютерной информации, а не наступили в силу иных причин. Следует также отметить, что неправомерный доступ к компьютерной информации считается состоявшимся с момента наступления общественно опасных последствий, перечисленных в статье закона. В случае отсутствия указанных последствий состав данного преступления не считается полным.
Учитывать способы неправомерного доступа
к компьютерной информации
В контексте темы нашего исследования под неправомерным доступом к охраняемой законом компьютерной информации будем понимать преодоление правил, процедур и способов защиты информации, установленных собственником или владельцем охраняемой законом информации при ее размещении на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети. Установить факт неправомерного доступа помогает выявление его способа (способов). В данной специфике способ доступа выступает как способ совершения преступления, под которым будем понимать систему объединенных единым замыслом действий лица (лиц) по подготовке, совершению и сокрытию такого преступления, определяемых объективными и субъективными факторами и сопровождаемых использованием соответствующих орудий и средств.
Эти способы доступа достаточно подробно описаны в литературе и печати и сведения о них периодически обновляются. В качестве сведений о способе совершения преступления в отношении охраняемой законом информации они являются необходимой криминалистической характеристикой преступлений в сфере компьютерной информации. Поэтому собственникам и владельцам охраняемой законом информации необходимо заблаговременно определить возможность применения каждого способа по отношению к его компьютерной информации на его машинных носителях, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети. Целесообразно ведение реестра носителей компьютерной информации с указанием возможных способов неправомерного доступа к каждому. Это обеспечит не только применение профилактических мер, но и в значительной мере облегчит работу следователей при расследовании совершенных преступлений.
Всячески затруднять сокрытие
обстоятельств неправомерного доступа
Редкий неправомерный пользователь безразличен к тому, остаются ли следы на объектах преступления или нет. Как правило, он будет либо избегать оставления следов, либо их устранять. Это называется сокрытием преступления и определяется как деятельность (элемент преступной деятельности), направленная на воспрепятствование расследованию путем утаивания, уничтожения, маскировки или фальсификации следов преступления и преступника и их носителей. Способы сокрытия рассматриваемых преступлений в значительной степени определяются способами их совершения и находятся в причинно-следственной связи. Их можно разделить на способы сокрытия при прямом доступе к компьютерной информации и способы сокрытия при удаленном доступе. В первом случае характерным будет физическое сокрытие следов преступлений. Во втором случае логика сокрытия заключена в самом способе совершения преступления, который и затрудняет обнаружение неправомерного доступа. Скрытие является свойством способа удаленного доступа. Составы обоих способов сокрытия направлены на скрытие факта неправомерного доступа.
Помимо скрытия факта доступа самостоятельной является проблема программного сокрытия следов неправомерного доступа к компьютерной информации, выполняемого для скрытия субъекта неправомерного доступа. Такое программное сокрытие доступа к ЭВМ и сети может применяться и в первом, и во втором случаях. Средства и способы программного сокрытия позволяют либо сделать недоступным электронный адрес (IP) компьютера, с которого осуществляется управление неправомерным доступом, либо удалить все файлы, фиксирующие информационные следы преступления в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети. Сведения об этих средствах и способах также широко распространены.
Из этого следует, что чем больше разных, многообразных и эшелонированных средств и способов для фиксирования следов неправомерного доступа к компьютерной информации будет применять собственник или владелец информации, чем серьезнее он будет относиться к регулярному мониторингу протоколов и файлов истории, ведущихся этими средствами, чем бережнее он будет относиться к сохранению таких следов, тем эффективнее будет работа органов следствия на его объекте.
Облегчать идентификацию орудий и средств
совершения преступлений в отношении компьютерной информации
Средства непосредственного и удаленного доступа всегда будут иметь элементы (модули), взаимодействующие, работающие в аппаратной и программной среде компьютера (сети ЭВМ) владельца, собственника, по характеристикам которых можно определить данные об орудиях и средствах совершения преступлений в этой сфере. Но владелец и собственник охраняемой законом компьютерной информации может и не акцентировать свое внимание на этих данных, так как они уже учтены в возможностях средств и способов, которые ему можно использовать для ограничения доступа к такой информации (то есть также заключены в способе ограничения доступа). Каждое из этих средств соответствует определенному набору орудий неправомерного непосредственного или удаленного доступа к компьютерной информации. Однако эти данные относятся к криминалистической характеристике преступлений в сфере компьютерной информации. Собственники и владельцы могут оказать существенную помощь в проводимом расследовании. Для этого целесообразно включать в конфигурацию своих электронно-вычислительных средств и систем технические и программные средства для выявления и регистрации: модулей и программ, проявляющих несанкционированную активность в операционной и аппаратной среде ЭВМ; несанкционированной работы или активности самой операционной системы. Этим собственники и владельцы информационных ресурсов будут облегчать следствию идентификацию орудий и средств совершения преступлений, толково представляя следователю каждую категорию используемых способов и средств защиты (организационно-тактических, программно-технических).
При выполнении рекомендации можно надеяться на то, что собственник и владелец охраняемой законом информации будет в состоянии оказать помощь в определении использованных средств преодоления правил и процедур ограниченного доступа в юридических границах своего предприятия. Однако идентифицировать компьютер, с помощью которого был осуществлен неправомерный доступ, практически невозможно.
Особенностью неправомерного доступа к компьютерной информации является то, что место непосредственного совершения противоправного деяния (место, где выполнялись действия в активной форме поведения виновного) может не совпадать с местом наступления вредных последствий (местом, где наступил результат противоправного деяния и где находился предмет преступления). Вследствие этого обстановку совершения преступлений в виде неправомерного доступа к компьютерной информации, нарушения правил эксплуатации ЭВМ, их системы или сети, будут составлять различные обстоятельства. Однако к обстоятельствам, характеризующим эту обстановку, сведения о которых могут быть предоставлены собственниками, владельцами независимо от совпадения указанных мест, относятся: наличие у них комплекса правил, процедур и средств обращения с охраняемой законом информацией (организационных, технических, программных), требовательность со стороны руководителей к соблюдению норм и правил информационной безопасности и эксплуатации ЭВМ, сложившаяся на объекте дисциплина и т.п.
Следы неправомерного доступа к компьютерной информации
можно представить двумя типами: материальные следы (следы, рассматриваемые
трасологией, а также следы-вещества и следы-предметы) и информационные следы.
Последние являются новацией в криминалистической характеристике преступления.
Для характеристики информационных следов необходимо учитывать следующее. Закрепление информации на носителях вещественного типа знаковыми
системами осуществляется за счет изменения образа физических тел. Это
происходит независимо от того, кто осуществил доступ к информации: легальный
или неправомерный пользователь. Здесь же отмечу, что закрепление и перенос
информации в сети ЭВМ осуществляется с использованием носителей
энергетического типа, существующих в форме сигналов модулированных
электротоков или электромагнитных волн, то есть локализованных в сетях
коммуникации и в пространстве материальных носителей блоков данных, имеющих конверт1
и содержание2. Лицо, совершившее неправомерный доступ к
сообщению в сети, может изменить состав конверта сообщения и содержание
сообщения.
1 Конверт сообщения – часть
сообщения, состав которой изменяется от одного этапа пересылки к другому и
которая по-разному идентифицирует как отправителя сообщения, так и
предполагаемых получателей сообщения, документирует трассировку сообщения и
предоставляет информацию для системы пересылки сообщений, а также характеризует
содержание сообщения.
2 Содержание сообщения – часть
сообщения, которую система пересылки сообщений не анализирует, не изменяет, за
исключением преобразования, выполняемого ею во время пересылки (не меняя
синтаксиса и семантики тела сообщения).
Поэтому к информационным следам неправомерного доступа к
компьютерной информации на компьютерах и сетевых устройствах жертвы в
криминалистическом плане можно отнести следующие последствия закрепления информации на носителях не только
вещественного типа, но и энергетического типа, то есть и при прохождении
информации в сети.
Во-первых, любые изменения компьютерной информации, которые образуются в результате воздействия (уничтожения, модификации, копирования, блокирования) на форму представления и синтаксис компьютерной информации, ее файловое представление, файловые атрибуты и реквизиты файлов, совершаемого путем доступа к ней, и которые связаны с событием преступления. Эти следы находятся на ЭВМ, сетевых устройствах, машинных носителях владельца, собственника компьютерной информации.
Во-вторых, протоколы результатов работы антивирусных и тестовых ("антишпионских") программ. Для выявления подобных следов необходимо участие специалистов. Эти следы также находятся на ЭВМ владельца, собственника компьютерной информации.
В-третьих, изменения в загрузочной и программной конфигурации компьютера, в системном реестре, в том числе: изменение настроек рабочего стола; изменение порядка взаимодействия с периферийным оборудованием (принтером, модемом и др.); появление новых и удаление прежних драйверов сетевых устройств, изменение настроек портов ввода/вывода.
На изменения в загрузочной и программной конфигурации компьютера могут указывать необычные проявления в работе ЭВМ. К ним относится: замедленная или недружественная загрузка операционной системы; замедленная реакция процессора на ввод с клавиатуры; замедленная работа дискового накопителя при записи и считывании информации; внезапная работа и останов дискового накопителя, не вызванные активностью загруженного пользователем программного обеспечения; неадекватная реакция ЭВМ на команды пользователя; появление на экране нестандартных символов, знаков и пр.
В-четвертых, протоколируемые результаты доступа через компьютерные сети, например через Интернет. Эти следы возникают в силу того, что система, через которую производится доступ, нуждается в определенной информации, которую она запрашивает через интерфейсные устройства у абонента, пытающегося соединиться с другим компьютером. К ним относится электронный адрес, используемое программное обеспечение и его версию. Кроме того, при доступе в сеть обычно запрашивается адрес электронной почты, реальное имя и другие данные. Эту информацию запрашивает и протоколирует программный сетевой администратор для контроля обращений на его сервер. Эта информация находится и в сети Интернет на серверах специальных сетевых служб, на сервере провайдера, на сервере локальной сети, с ЭВМ которой был осуществлен несанкционированный доступ, на компьютере, с которого был осуществлен выход в Интернет и осуществлен несанкционированный доступ. К формам такой информации относятся протоколы, временные файлы, резервные копии файлов, файлы истории, файлы-отчеты, стертые файлы, потерянные кластеры и пр., появившиеся в результате особенностей используемого программного обеспечения. Для выявления этих следов также необходимо участие специалистов. Ряд из этих мероприятий могут проводиться только под руководством следственных органов в ходе проведения оперативно-розыскных мероприятий.
Это очень сложный вопрос. Представляется, что информация, принадлежащая собственнику, владельцу как предмет преступного посягательства характеризуется двумя сторонами: первое, она должна реально обладать а) признаками, позволяющими отнести ее к виду охраняемой законом информации, б) свойствами защищенности, возникающими из-за ограничения доступа к ней установленными и соблюдаемыми мерами ее защиты собственником, владельцем; второе, она должна существовать на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети в форме, обеспечивающей возможность управления ею. Авторы, характеризующие процедуру расследования, в этом месте не упоминают первую сторону предмета преступного посягательства, т.е. не указывают на необходимость оценки защищенности компьютерной информации. Думаю, что это не совсем верно, так как собственник, владелец компьютерной информации должен обосновать органам следствия правомерность своего обращения к ним прежде всего тем, что обоснует отнесение информации к охраняемой законом, ее защищенность - соблюдением условий документирования, режима ограничения доступа к ней и т.п. И, скорее всего, от него потребуют доказательства использования сертифицированных средств защиты и ограничения доступа, если эти средства являются функциональными блоками баз данных, информационных систем, программ ведения банка электронных текстов документов, текстовых и графических редакторов и т.п. Поэтому наличие признаков и свойств защищенности компьютерной информации, к которой осуществлен несанкционированный доступ, может быть криминалистической характеристикой такой информации.
Самую большую сложность взаимодействия при расследовании преступлений в отношении компьютерной информации может представлять проблема определения формулы состава преступления. То есть проблема соотношения способа неправомерного доступа и материальной формы представления информации, которое привело к последствиям в виде уничтожения, блокирования, модификации или копирования компьютерной информации, нарушения работы ЭВМ, системы ЭВМ или их сети. Авторы юридических концепций в этом месте обходятся перечислением типов файлов, расширений и соотносимых (ассоциируемых) с ними прикладных программ (приложений). По умолчанию это означает, что все составы преступлений относятся только к самой информации, содержащейся в теле файла, и не относятся к объективной форме машинного представления информации. Однако уничтожить информацию у правомерного пользователя можно, удалив файл, переместив его на другую ЭВМ (недоступную), сделав его пустым и т.д. Блокировать файл можно, изменив расширение, изменив атрибуты зарегистрированных типов файлов в диалоговом окне "Свойства папки" меню "Настройка" меню "Пуск", внося изменения в системный реестр. Скопировать информацию можно, когда она находилась в теле файла, была загружена в область оперативной памяти, отводимой приложению, когда отображалась на экране. Уничтожить, блокировать, скопировать информацию можно, когда она пересылается по сети. И т.д. и т.п. И все эти действия могут производится при условии, что злоумышленник не знает семантического (смыслового) содержания информации, не знаком с языковой формой ее представления. Он ориентируется на объективную машиночитаемую форму представления синтаксической информации в виде сетевого или пользовательского файла, идентифицируемую набором атрибутов. И в любом из обозначенных выше вариантов действий будут присутствовать и первое и второе основания для классификации преступления – неправомерный доступ к компьютерной информации и его вредные последствия. Таким образом, в составе данного преступления нас будет интересовать не последствия в виде того, как неправомерный пользователь использовал саму информацию (семантический аспект), находившуюся на чужом машинном носителе, чужой ЭВМ или сети, а последствия в виде того, что он сделал с объективной машиночитаемой формой ее представления. Предметом преступления будет машиночитаемая форма представления охраняемой законом информации .
Общим для всех форм машинного представления информации является то, что для этого используются различные виды синтаксиса. Представляется, что для воздействия на информацию непосредственно на компьютере собственника, владельца может использоваться:
- синтаксис языка статистического отображения информации (письменная речь, графическое представление) для прочтения, изменения данных;
- синтаксис языка программирования машиночитаемого образа статистической формы информации для управления приложениями;
- синтаксис языка управления файлами для просмотра и манипулирования его атрибутами.
Использование при неправомерном доступе любого из этих синтаксисов или их сочетания можно считать составообразующим преступление признаком, так как оно позволяет осуществить непосредственный или отложенный контакт с языковой (графической) формой представления охраняемой законом информации.
Что касается результатов использования семантической составляющей компьютерной информации, то это, как говорится, в прямом и переносном смысле, другая статья.
оперативным путем на конкретном примере
Рассмотрим на примере признаки неправомерного доступа к компьютерной информации, характеризующие преступление с объективной стороны и сделаем анализ этапов оперативных действий, предпринимаемых для установления неправомерности доступа.
Фабула вводной части следующая. Поводом для начала расследования ФБР явилась кража 15 тысяч номеров кредиток из банка “Вестерн юнион” в Денвере, совершенная в сентябре 1999 года. Основанием для использования оперативных мер ФБР послужило получение в июне 2000 года ФБР данных о месте российских хакеров, подозревались во взломе сетей нескольких компаний и банков США.
Вред, принесенный банковской системе США двумя умельцами из Челябинска, оценивался в миллионы долларов. Используя дыры в ОС Windows, они в течение долгого времени крали в банках и в электронных магазинах номера кредитных карт. Также им в вину вменялось и создание копии сайта платежной системы PayPal, с помощью которой им удалось получить доступ к счетам клиентов.
Сотрудники ФБР охотились за хакерами около года. Операцию по их задержанию долго и тщательно готовили лучшие силы ФБР. И в конечном итоге придумали и реализовали схему, представленную в следующей табличной форме.
Объективные признаки преступления |
Основные этапы оперативных действий ФБР |
Выявленное содержание этапов |
1.Подтверждение факта неправомерного доступа к охраняемой законом компьютерной информации. |
1.1. Создание ФБР специализированного объекта для отработки неправомерного доступа |
Регистрация фиктивной компании под названием “Инвита”. Предложение подозреваемым продемонстрировать свое умение путем удаленного доступа к ЭВМ этой фирмы. |
1.2. Установление неправомерности действий |
Успешный взлом подозреваемыми хакерами ЭВМ “Инвиты”. |
|
2. Доказательство причинения общественно опасных последствий. |
2.1. Создание условий для добывание доказательств наступления последствий |
Предложение хакерам хорошо оплачиваемой работы в “Инвите” и приглашение в США в офис “Инвиты” на собеседование. |
2.2. Добывание доказательств наступления последствий и идентификация субъектов угроз |
Подключение к компьютерам в офисе “Инвиты” специального оборудования, позволяющего регистрировать каждое нажатие на клавишу и клик мыши. Проведение собеседования с целью предложить хакерам продемонстрировать свои способности. Демонстрация хакерами мастерства. Протоколирование их действий. |
|
3. Доказательство причинной связи между совершенным деянием и наступившими последствиями. |
3.1. Обеспечение выхода на компьютеры хакеров для поиска неправомерно полученной информации |
Выполнение хакерами выхода на свои домашние компьютеры. Получение ФБР паролей доступа на их компьютеры. |
3.2. Снятие с компьютеров хакеров неправомерно полученной ими информации и следов неправомерных действий |
Выход ФБР на компьютеры хакеров и съем оттуда всей информации, представляющей интерес для следствия и использования в качестве материалов обвинения. |
Информация, полученная на этапах оперативных действий,
послужила основанием для ареста и судебного преследования двоих российских
хакеров.
Кандидат военных наук, доцент
Владислав Провоторов
СПРАВКА О ЛИТЕРАТУРЕ
Основная
"Об информации, информатизации и защите информации". Федеральный закон от 20 февраля 1995 г. №24-ФЗ
"О правовой охране программ для электронных вычислительных машин и баз данных". Закон РФ от 23 сентября 1992 г. №3524-1
Комментарий к Уголовному Кодексу РФ. Под общей редакцией В.М. Лебедева и Ю.И. Скуратова. Издание 2-е, измененное и дополненное. М., 1996.
Архитектура, протоколы и тестирование открытых информационных сетей. Толковый словарь. Под ред. Э.А. Якубайтиса. М.: Финансы и статистика, 1989
Преступления в сфере компьютерной информации: квалификация и доказывание. УП. / Коллектив авторов. Под редакцией Ю.В. Гаврилина. М.: ЮИ МВД РФ, 2003
Чумарин И.Г. Тайна предприятия: что и как защищать. СПб: ООО "Издательство ДНК", 2001
Провоторов В.Д. Информация в бизнесе – обоюдоострое оружие. // Журнал "БДИ" №1, 2004
Дополнительная
Гусев В.С., Демин В.А., Кузин Б.И. и др. Экономика и организация безопасности хозяйствующих субъектов. Учебник. 2-е изд. СПб: Питер, 2004 – Серия "Учебник для вузов"
Черкасов В.Н. Бизнес и безопасность. Комплексный подход. М.: Армада-пресс, 2001
Латкин А. В России появилось интернет-право. // "Известия" №73, 22.04.2004
Пример
Игнатьев П. ФСБ против ФБР. // "Российская газета" № 176, 18.09.2002
Жадность хакеров сгубила. // "Свежий номер" №16-17, 2001
.
Только подписка гарантирует Вам оперативное получение информации о новинках данного раздела
Нужное: Услуги нянь Коллекционные куклы Уборка, мытье окон