Научная статья на тему 'О современном состоянии и перспективах развития судебной компьютернотехнической экспертизы'

О современном состоянии и перспективах развития судебной компьютернотехнической экспертизы Текст научной статьи по специальности «Право»

CC BY
1289
246
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННАЯ СИСТЕМА / КОПЬЮТЕРНЫЕ ПРЕСТУПЛЕНИЯ / СУДЕБНАЯ КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ ЭКСПЕРТИЗА / ЭЛЕКТРОННЫЕ НОСИТЕЛИ ИНФОРМАЦИИ / INFORMATION AND COMMUNICATION SYSTEM / COMPUTER CRIME / JUSTICE COMPUTER FORENSICS / ELECTRONIC MEDIA

Аннотация научной статьи по праву, автор научной работы — Демин К. Е.

Рассматриваются теоретические, методические вопросы судебных комьютерно-технических исследований электронных носителей информации как нового класса судебных экспертиз.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

THE PRESENT STATE AND PROSPECTS OF DEVELOPMENT OF COMPUTER FORENSIC AND TECHNICAL EXPERTISE

This article deals with theoretical and methodological issues of legal and technical research kompyuterno electronic media as a new class of forensic examinations.

Текст научной работы на тему «О современном состоянии и перспективах развития судебной компьютернотехнической экспертизы»

А. ЮРИДИЧЕСКИЕ НАУКИ _

Актуальные проблемы уголовного процесса

О СОВРЕМЕННОМ СОСТОЯНИИ И ПЕРСПЕКТИВАХ РАЗВИТИЯ СУДЕБНОЙ КОМПЬЮТЕРНО-ТЕХНИЧЕСКОЙ ЭКСПЕРТИЗЫ

К.Е. ДЕМИН,

кандидат юридических наук, доцент кафедры оружиеведения и трасологии учебно-научного комплекса

судебной экспертизы Московского университета МВД России Научая специальность: 12.00.09 — уголовный процесс, криминалистика; оперативно-розыскная деятельность

E-mail: diomin. [email protected]

Аннотация. Рассматриваются теоретические, методические вопросы судебных комьютерно-технических исследований электронных носителей информации как нового класса судебных экспертиз.

Ключевые слова: информационно-телекоммуникационная система; копьютерные преступления; судебная компьютерно-техническая экспертиза; электронные носители информации.

THE PRESENT STATE AND PROSPECTS OF DEVELOPMENT OF COMPUTER FORENSIC AND TECHNICAL EXPERTISE

K.E. DEMIN,

the candidate of jurisprudence, docent, the lecturer of chair of trasology educational and scientific complex of «Forensic science» the Moscow university of the Ministry of Internal Affairs of Russia

Annotation. This article deals with theoretical and methodological issues of legal and technical research kompyuterno electronic media as a new class of forensic examinations.

Keywords: information and communication system; computer Crime, justice computer forensics, electronic media.

Сегодня четко просматривается тенденция перехода на безбумажные технологии, основанные на «электронном документообороте» (ЭДО). Активно формируется и совершенствуется правовое поле применения электронного документооборота и электронных документов в России (Законы Российской Федерации «Об электронной цифровой подписи», «Об информации, информатизации и защите информации», «О связи» и т.д.). Вместе с тем, расширение сферы применения электронно-вычислительной техники в различных отраслях деятельности человека, общества и государства, как отмечается в «Доктрине информационной безопасности Российской Федерации», породило такое негативное явление, как использование электронно-вычислительной техники, современных информационных технологий для совершения преступлений как в сфере экономики, так и в других сферах народного хозяйства. Нами раннее неоднократно было подчеркнуто [1, 2], что преступления, сопряженные с использованием информационных технологий, представляют серьезную угрозу для любой организации или частного лица, располагающих информационной техникой и использующей в своей повседневной

деятельности так называемые вычислительные (компьютерные) средства. Значительный вклад в разработку концептуальных и методических основ данного криминалистического направления был в свое время сделан такими научными и практическими работниками, как Б.В. Вехов [2], Ю.В. Гаврилин [5], В.В. Крылов [6], В.А. Мещеряков [7], А.Б. Нехоро-шев [9], Е.Р. Россинская [8], А.И. Усов [8; 11] и др. В своих работах исследователи рассматривают вопросы, сопряженные с разработкой методологических и научно-практических проблем, связанных с расследованием преступлений, посягающих на информационную безопасность (Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации: учеб. пособие // под ред. профессора Н.Г. Шурухнова. М, 2001; Гаврилин Ю.В. Расследование преступлений, посягающих на информационную безопасность в экономической сфере: теоретические, организационно-тактические и методические основы. Тула, 2010; Крылов В.В. Информационные компьютерные преступления. М., 1997; Мещеряков В.А. Преступления в сфере компьютерной информации: основы теории и практики расследования. Воронеж, 2002; Нехорошев А.Б. Ком-

Актуальные проблемы уголовного процесса

пьютерные преступления: Квалификация, расследование, экспертиза. Ч. 1 // под ред. В.Н. Черкасова. Саратов, 2003). Не мало исследований посвящено разработке теоретических и практических основ судебных компьютерно-технических экспертных исследований (Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. М., 2001; Усов А.И. Судебно-экспертное исследование компьютерных средств и систем: учеб. пособие // под. ред. Е.Р. Россинской. М., 2003). Вместе с тем, следует указать, что данная область криминалистических знаний, характеризующаяся очень высокой динамикой развития, быстро насыщается все новыми направлениями, интегрируется с рядом пограничных научных областей, что требует серьезного методологического комплексного наполнения новых потенциальных направлений (защита данных на электронных носителях, отдельные вопросы информационной безопасности, цифровые изображения и распознавания образов, электронный документооборот и т.д.).

Необходимо отметь, за последнее десятилетние в работу ведущих экспертных подразделений России (ГУ РФЦСЭ, ЭКЦ МВД России и др.) прочно вошла практика формирования и внедрения новых научных направлений. Прежде всего, это относится к компьютерно-технической экспертизе. Так, в соответствии с Распоряжением правительства от 22 октября 1999 г. «Об усилении борьбы с преступлениями в сфере высоких технологий и реализации международных договоренностей и обязательств Российской Федерации», ряду министерств и ведомств (МВД, Минюст, ФСБ, ФАПСИ, Гостехкомиссия при Президенте Российской Федерации, Генпрокуратура РФ) было поручено проработать вопросы о целесообразности создания региональных межведомственных центров для проведения исследований и экспертиз ЭВМ, их систем и сетей. Специально созданная в 1998 г., по постановлению Правительства Российской Федерации межведомственная рабочая группа, в которую вошли правоохранительные ведомства, Минюст, МВД, ФСБ, подготовила и направила в Правительство России предложения о развитии судебных экспертиз в сфере информационных технологий. На основании этого, в 2000 г. в ЭКЦ МВД России были созданы отдел «компьютерных экспертиз и технологий» и «научно-исследовательская лаборатория», которыми обосновывались основные направления пер-

спективного развития указанного класса экспертных исследований и разрабатывались соответствующие методические основы. Несмотря на то, что в настоящее время терминологический аппарат устоялся и во многих ведомствах, в частности в МВД, Министерстве Юстиции введен реестр экспертных методик под названием «Судебная компьютерно-техническая экспертиза», на практике встречаются отдельные разночтения в названии экспертных исследований. Так, в одних случаях их называют «информационно-аналитические технические экспертизы» (ИАТЭ), в других — «экспертизы электронно-вычислительной техники и ее комплектующих» (ЭВТК). В связи с этим, по нашему мнению правильное использование «узаконенного» терминологического аппарата экспертных исследований крайне необходимо как при назначении экспертизы следователем, так и в процессе судебного разбирательства, поскольку именно название экспертизы, утвержденное в реестре соответствующего ведомства, выполняющего экспертные исследования, позволяет однозначно определить предмет, объект и задачи экспертных исследований, что, безусловно, является выполнением принципа допустимости доказательств по отношению к экспертному заключению, исключая «различные трактовки», и делая экспертное исследование соответствующим процессуальным принципам оценки доказательств. При этом вопросы, поставленные перед экспертом следователем, определяются предметом и объектами экспертного исследования.

Задачи подготовки эффективно действующих в современных условиях следственных, оперативных и экспертных служб, неразрывно связаны с вопросами подготовки высококвалифицированных специалистов, умеющих на практике применять знания и навыки в области современных информационно-телекоммуникационных средств и технологий при раскрытии и расследовании преступлений. Важность процессуально-корректного установления, фиксации и изъятия подобных вещественных электронных доказательств определяется еще и тем, что они могут быть легко утрачены (модифицированы) при неквалифицированном обращении с ними, особенно на первоначальном этапе следствия, расследовании по «горячим» следам. Их важность, с точки зрения наиболее полного, объективного установления следовой информационной картины криминального события и влияния на весь последующий процесс расследова-

Актуальные проблемы уголовного процесса

ния преступления, трудно переоценить. Специфичность данного вида доказательственной базы требует от обучаемых, при подготовке их в качестве следователей, экспертов и оперативных сотрудников, специальных знаний, которые позволят им обнаруживать, фиксировать, изымать и исследовать электронные вещественные доказательства. Вместе с тем, подготовка инженерных кадров во многом, сопряжена с их детальной направленностью; так, выпускник высшей школы по специальности инженер-электрик никак не может отвечать требованиям программиста. Помимо этого, даже в обучении на старших курсах студенты сталкиваются с определенной специализацией, не случайно, поэтому действует система второго высшего образования подготовки экспертов в области компьютерных экспертиз в МВТУ им. Н.Э. Баумана.

Аргументируя данное положение, приведем зарубежный опыт, который убедительно свидетельствует о серьезном внимании к данной проблематике со стороны правоохранительного мирового сообщества. Так, министерством юстиции США, совместно с другими правоохранительными органами и Международной ассоциацией специалистов по расследованию компьютерных преступлений в Портленде (штат Орегона), разработана национальная программа подготовки специалистов в области борьбы с «компьютерной преступностью» (ЫСТР). В академии ФБР (Квантико, штат Виржиния) и федеральном учебном центре (Глинко, штат Джорджия) проводятся специальные учебные курсы по методам расследования преступлений, связанных с компьютерной информацией, а также отбору и исследованию полученных при этом доказательств. Дисциплины (в переводе с английского) носят следующие названия: «Работа в компьютерной сети»; «Место компьютерного преступления»; «Изъятие компьютерной техники и анализ информации находящейся в ней»; «Восстановление информации» и т.д. Это обеспечивает единообразие действий сотрудников на месте происшествия, поскольку позволят специалистам сочетать изучение правовых вопросов с приобретением специальных знаний, позволяющих собирать и исследовать электронные вещественные доказательства, проводить расследования. В 2001 г. на экспертно-криминалистическом факультете Московского университета МВД России в учебный процесс была введена новая дисциплина «Основы судебной ком-

пьютерно-технической экспертизы», цель преподавания которой — подготовка специалистов, способных квалифицированно и на современном уровне решать задачи использования специальных познаний в целях установления фактических данных, способствующих расследованию, раскрытию и предупреждению «компьютерных преступлений» и преступлений других видов, обладающих основами знаний и умений в области исследования средств обеспечения автоматизированных информационных систем и их технологий. С 2003 г. курсантам и слушателям следственного и криминального факультетов стала преподаваться новая дисциплина «Методы и способы получения доказательственной информации с электронных носителей». Мы выражаем глубокую признательность за понимание и личную поддержку в становлении и укреплении учебно-методической базы данного научного направления первому заместителю начальника Московского университета генерал-майору полиции С.С. Жевлаковичу. Названные дисциплины — составная часть системы юридических и экспертных знаний, обеспечивающих качественную подготовку специалистов для различных служб и подразделений органов внутренних дел. Кроме этого, выпускники факультета подготовки специалистов в области информационной безопасности дальнейшую свою профессиональную деятельность связывают, в том числе, и с работой в отделах компьютерных экспертиз и исследований экспертно-криминалистических подразделений МВД России. Мы настаиваем на введении в рамках профессионального образования третьего поколения по стандарту «магистратура» обязательных курсов по специальности «Судебная экспертиза» указанных категорий сотрудников.

Рассматриваемая область специальных знаний, характеризующаяся очень высокой динамикой развития, быстро насыщается все новыми направлениями, синтезом с рядом пограничных научных областей. Поэтому, по мнению Е.Р. Россинской и А.И. Усова [8, с. 118], не исключено, что уже в ближайшем будущем данные виды экспертиз могут быть значительно расширены и выделены в полностью самостоятельную систему судебной экспертизы. Например, это может быть вид судебной экспертизы в сфере современных информационных технологий — судебных информационно-технологических экспертиз. Вместе с тем, данная инновация потребует серьезного методического наполнения потенциальных

Актуальные проблемы уголовного процесса

направлений, например, в области защиты данных и информационной безопасности, цифровых изображений и распознавания образов, электронного документооборота и коммерции. Сегодня становление СКТЭ происходит в тесном взаимодействии с наработками терминологического аппарата из сферы информационных технологий, который необходимо применять и однозначно толковать при судебном расследовании и следствии. Например, ранее часто следователями при проведении экспертных исследований, в случае изъятия ими системного блока, в назначении производства экспертизы указывались такие категории как «компьютер», «произвести исследование компьютера», хотя юридически грамотно и технически точно в назначении экспертизы писать: системный 1ВМ-совместимый блок компьютера. Тоже относится и к жесткому диску, в отношении которого часто указывается что это, «винчестер», хотя слово винчестер — это скорее литературный «сленг» а не юридическая, а тем более не техническая, категория и т.д. Вероятно, назрела настоятельная необходимость разработки соответствующего словаря судебных терминов применительно к сфере «терминологического судебного аппарата» в сфере «высоких технологий».

В настоящее время существует и действует следующая теоретически обоснованная система судебной компьютерно-технической экспертизы (СКТЭ), состоящая из:

1) судебной аппаратно-компьютерной экспертизы (САКЭ);

2) судебной программно-компьютерной экспертиза (СПКЭ);

3) судебной информационно-компьютерной экспертизы (СИКЭ);

4) судебной компьютерно-сетевой экспертизы (СКСЭ) [1, с. 147—159; 4, с. 409—416].

Сущность судебной аппаратно-компьютерной экспертизы (САКЭ) заключается, прежде всего, в проведении исследования аппаратных (технических) средств компьютерной системы. Предметом данного рода служат факты и обстоятельства, устанавливаемые на основе закономерностей эксплуатации аппаратных средств компьютерной системы — электронных материальных носителей информации о факте события уголовного или гражданского дела. В большинстве случаев цель исследований аппаратных средств состоит в получении доступа к представлен-

ному компьютерному или радиоэлектронному оборудованию и информации, хранящейся в нем. Объектами экспертизы выступают электронные органайзеры, мобильные телефоны, магнитные и ЧИП-карты, любая потребительская электроника. В криминалистическом аспекте наиболее важен подвид запоминающих устройств и электронных носителей данных, который включает все известные электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, карты памяти и т.п.

Для производства экспертных исследований программного обеспечения предназначена судебная программно-компьютерная экспертиза (СПКЭ), родовой предмет которой — закономерности разработки и использования программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по уголовному или гражданскому делу. Задачи СПКЭ — изучение функционального предназначения и характеристик, реализуемых требований, алгоритмов и структурных особенностей, текущего состояния представленного на исследование системного, установление прикладного и авторского программного обеспечения исследуемой информационной системы.

Ключевой составляющей системы СКТЭ выступает судебная информационно-комьютерная экспертиза (СИКЭ), которая позволяет получить ценную доказательственную информацию, связанную с компьютерной информацией; целью этого рода — поиск, обнаружение, восстановление, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

Судебная компьютерно-сетевая экспертиза (СКСЭ) — в отличие от предыдущих — основывается, прежде всего, на функциональном предназначении компьютерных средств, реализующих сетевую информационную технологию (в т.ч. интернет). Отдельным видом здесь является телематическая экспертиза для исследования средств телекоммуникаций и подвижной связи как материальных носителей информации о факте или событии какого-либо дела. Предмет СКСЭ — факты и обстоятельства, устанавливаемые на основе специальных знаний о сетевых технологиях и средствах телекоммуникации и связи. Она выделяется в отдельный род в связи с тем, что

Актуальные проблемы уголовного процесса

использование сетевых технологий позволяет соединить объекты и сведения о них, эффективно решать поставленные перед экспертом следствием или судом вопросы. Следует также подчеркнуть, что конкретные экспертные задачи определенного рода экспертизы, подлежат обязательному уяснению как со стороны следователя, так и эксперта. Как показывает практика, основные роды СКТЭ при производстве большинства экспертиз применяются комплексно и чаще всего, последовательно.

С принятием «Доктрины информационной безопасности Российской Федерации» (от 9 сентября 2000 г. № ПР-1859), которая обозначила пути эффективного противодействия и предупреждения преступлений, сопряженных со сферой неправомерного доступа к компьютерной информации, сформулированы и задачи, прямо или косвенно относящиеся к СКТЭ. Согласно приведенной выше классификации к таким задачам относятся:

♦ выявление и определение внедренных в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;

♦ выявление внедренных электронных устройств для перехвата информации в технических средствах обработки, хранения и передачи информации по каналам связи;

♦ выявление фактов уничтожения, повреждения, разрушения или хищения машинных и других носителей информации;

♦ создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также выявление изменения штатных режимов функционирования систем и средств информатизации и связи;

♦ выявление технических устройств (аппаратных — прим. автора) и .. .представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, обеспечение контроля за выполнением специальных требований по защите информации.

Так, получившие широкое распространение сегодня аппаратно-программные средства защиты информации (шифрования), активно применяемые и организованной преступной средой, в скором времени могут создавать серьезные проблемы раскры-

тию и расследованию преступлений. По мнению Уильяма Бау, ранее занимавшего высокий пост в ФБР, а ныне являющегося вице-президентом корпорации Science Applications International, существенную трудность для правоохранительных органов будет представлять использование преступниками современных технологий шифрования. По данным исследования, проведенного американскими экспертами, в мире ежегодно совершается по меньшей мере 500 преступлений с привлечением средств шифрования, причем их число растет с каждым годом на 50— 100%. В подготовленном по результатам исследований отчете говорится об использовании технологий шифрования при организации ряда международных преступлений, таких, как взрывы в Нью-Йоркском и Токийском метро, теракт в Международном центре торговли и т.д. [7].

Таким образом, обосновывая выделение судебной компьютерно-технической экспертизы как отдельного класса судебных экспертиз, по нашему мнению, дальнейшее развитие данной области знания неразрывно связано с совершенствованием теоретической базы, что, в свою очередь, обуславливается широким использованием специальных знаний в следственной и экспертной практике при раскрытии и расследовании преступлений. Данное решение предполагает осуществление целенаправленной научно-исследовательской деятельности в нескольких приоритетных направлениях.

Пе>вое. Предметом данного класса экспертиз является получение фактических данных, связанных: несанкционированным доступом в информационные системы; распространением детской порнографии через Интернет; перехватом данных и кражей оплаченного времени в ИТКС; преднамеренным распространением вирусов; мошенничеством с банкоматами и платежными системами; нарушением авторских и смежных прав в сфере системного программного обеспечения и аудио- видеоигровых носителей информации; фрикингом (мошенничеством в области компьютерной телефонии и мобильных платформ и платежей); незаконным распространением баз данных, содержащих конфиденциальную информацию о физических и юридических лицах; изготовлением и распространением (продажей) специальных технических средств, в том числе и радиомониторинга; «сетевым экстремизмом» в информационных сетях и их использованием в террористических целях. Нельзя не

Актуальные проблемы уголовного процесса

учитывать и то, что в настоящее время типичной следственной ситуацией становится ситуация, когда электронные средства рассматриваются в качестве способа совершения преступлений, предусмотренных такими статьями УК Российской Федерации, как мошенничество, кража, злоупотребление властью, служебным положением или доверием, должностной подлог, нарушение авторских и смежных прав, присвоение вверенного имущества — все это приводит к необходимости получения доказательственной информации по перечисленным противоправным деяниям [2, с. 23—34].

Второе. Из теории судебной экспертизы известно, что экспертные задачи во многом исходящие из предмета данных экспертиз подразделяются на идентификационные и диагностические. Первые, включают в себя понятие установления тождества исполнителя по свойственным его характеристикам месторасположения; в необходимых случаях эксперт устанавливает также единый источник происхождения или изготовления того или иного программного продукта. Более широкий объем составляют диагностические задачи, включающие в себя понимание свойств и состояние исследуемых объектов, в том числе, реализующихся в пространстве и во времени; последнее особенно важно для установления фактических данных в ходе производства СКТЭ.

Третье. В настоящее время теория СКТЭ находится в активной стадии своего формирования. Дальнейшее развитие данного криминалистического направления тесно связно с развитием экспертно-инфор-мационных средств и платформ, а также практикой и потребностями следственных и судебных органов. Системообразующим предметом СКТЭ являются факты и обстоятельства, устанавливаемые на основе исследования закономерности разработки и эксплуатации компьютерных средств, обеспечивающих реализацию информационных процессов, которые зафиксированы в материалах уголовного или гражданского дела, дела об административном правонарушении. Родовая классификация СКТЭ строится на основе обеспечивающих компонент любого современного компьютерезированого радиоэлектронного устройства. В настоящее время это широко известные компоненты, обеспечивающие работу любого компьютера, смартфона, коммуникатора. Иными сло-

вами: это аппаратная (техническая), программная («софт»), информационная (информационное наполнение и оснащение и созданные пользователем данные), и сетевая составляющие. Такое деление охватывает технологические особенности и эксплуатационные свойства объектов экспертизы, представляемых на исследования в экспертные подразделения. Правоохранительными органами уже сейчас решаются такие задачи, которые во многом сопряжены с исследованием электронных средств и систем, поэтому, данные перспективные направления могут составить самостоятельный род информационно-технологических экспертиз (ИТЭ).

Литература

1. Абдурагимова Т.И., Васильев А.А. Основы компьютерно-технической экспертизы: курс лекций. М., 2005.

2. Васильев А.А., Демин К.Е. Электронные носители данных как источники получения криминалистически значимой информации: учеб.-метод. пособие. М., 2009.

3. Вехов В.Б. Основы криминалистического учения об исследовании и использовании компьютерной информации и средств ее обработки: моногр. Волгоград, 2008.

4. Возможности производства судебной экспертизы в государственных судебно-экспертных учреждениях Минюста России: науч. изд. М., 2004.

5. Гаврилин Ю.В. Расследование преступлений, посягающих на информационную безопасность в экономической сфере: теоретические, организационно-тактические и методические основы. Тула, 2009.

6. Крылов В.В. Расследование преступлений в сфере информации. М., 1998.

7. Мещеряков В.А. Преступления в сфере компьютерной информации: основы теории и практики расследования. Воронеж, 2002.

8. Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. М., 2001.

9. Нехорошев А.Б. Компьютерные преступления: Квалификация, расследование, экспертиза. Ч. 1 // под ред. В.Н. Черкасова. Саратов, 2003.

10. Усов А.И. Судебно-экспертное исследование компьютерных средств и систем: учеб. пособие // под. ред. Е.Р. Россинской. М., 2003.

i Надоели баннеры? Вы всегда можете отключить рекламу.