Особенности тактики первоначальных следственных действий

Наиболее важными следственными действиями на начальном этапе расследования компьютерных преступлений являются осмотр места происшествия, компьютерного оборудования и информации, обыск и выемка с целью обнаружения, фиксации и изъятия компьютерной информации и компьютерных средств, относящихся к расследуемому событию. Это ключевой момент расследования, поскольку компьютерная информация является предметом посягательства, неправомерный доступ к ней должен быть своевременно процессуально зафиксирован, поскольку компьютерная информация может быть легко изменена или уничтожена, что повлечет утрату следов преступления.

Как отмечалось выше, место совершения компьютерного преступления неоднозначно, поэтому поиск и фиксация компьютерной информации осуществляются на различных объектах, а именно в местах:

• — непосредственной обработки и постоянного хранения компьютерной информации, ставшей предметом преступного посягательства;
• — непосредственного использования компьютерного оборудования с целью неправомерного доступа к охраняемым базам и банкам данных или создания, использования и распространения вредоносных программ для ЭВМ;
• — хранения добытой преступным путем из других компьютеров, компьютерных систем и сетей информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети;
• — непосредственного нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети;
• — наступления вредных последствий;
• — личного обыска подозреваемого на месте его задержания.

Поскольку для следователя может быть затруднительным обращение с компьютерной техникой и информацией, необходимо привлекать для участия в следственных действиях специалистов: программистов по операционным системам и прикладным программам; электронщиков; специалистов по средствам связи и телекоммуникациям, по сетевым технологиям; специалистов в области экономики, финансов, бухгалтерского учета, в том числе лиц, владеющих навыками работы с определенными компьютерными бухгалтерскими, учетными и другими программами.

Производя указанные следственные действия, необходимо учитывать, что компьютерное оборудование и компьютерная информация могут быть предметом посягательства, орудием преступления и хранилищем доказательств. В связи с этим целью их осмотра и обыска должны быть поиск, обнаружение, закрепление и изъятие всех возможных следов, связанных с указанными функциями объектов, например: информация о незаконных бухгалтерских и финансовых операциях, произведенных в кредитно-финансовой сфере; программы, отвечающие за проведение электронных платежей по Интернету с использованием услуг интернетмагазинов, а также списки произведенных перечислений с чужих счетов и платежных карт; программы для осуществления электронных платежей; переписка соучастников, касающаяся организации и исполнения преступления; сведения, составляющие государственную, коммерческую, банковскую тайну; программное обеспечение и базы данных, обладателями которых являются иные лица; личная переписка; порнографические изображения; вредоносные программы; файлы, содержащие конфиденциальную информацию, которой на законных основаниях не может обладать данный субъект; зашифрованные данные, связанные с совершением преступления.

Немаловажное значение имеют обнаружение и изъятие в помещении, где установлено компьютерное оборудование, традиционных вещественных доказательств, таких, как бумажные носители информации (распечатки с принтера, в том числе оставшиеся внутри его); записи кодов и паролей доступа; тексты программ и описание программного обеспечения; записные книжки, в том числе электронные, в которых могут находиться имена, клички хакеров и соучастников, номера телефонов, банковских счетов, ПИН-коды пластиковых карт; платежные карты соучастников и третьих лиц, с помощью которых обналичивались и изымались денежные средства, похищенные с использованием компьютерных технологий; телефонные счета за пользование провайдерскими услугами; нестандартные периферийные устройства, устройства доступа в телефонные сети и сети ЭВМ; документы, должностные инструкции, регламентирующие правила работы с данной компьютерной системой, сетью с пометками сотрудника, свидетельствующие о его ознакомлении с ними, и др.

Если непосредственный доступ к ЭВМ осуществлялся посторонним лицом, целесообразно направить усилия на поиск следов рук на клавиатуре, мониторе, системном блоке, мебели, следов ног на полу, следов орудий взлома, сопровождавшего проникновение преступника в помещение, и пр.

В ходе выемки обязательно изымаются документы, необходимые для решения вопроса о нарушении правил эксплуатации ЭВМ: инструкции производителя по эксплуатации ЭВМ, системы или сети ЭВМ; правила работы на ЭВМ, установленные фирмой — собственником оборудования; журналы регистрации сбоев ЭВМ; журнал ремонта и профилактических осмотров компьютерного оборудования; материалы служебного расследования факта нарушения правил эксплуатации; приказ руководителя организации об отнесении сведений к разряду коммерческой тайны; приказ о назначении лица на должность; должностная инструкция виновного; документы о соответствующей подготовке виновного для работы с оборудованием и др.