Для тех, кто, успешно сдав экзамен по криминалистике, уже все забыл, напомним: криминалистическая характеристика - это система типичных признаков преступления того или иного вида.
Сталкиваясь в очередной раз с преступлением, следователь или оперуполномоченный вспоминает похожие дела из своей практики, предполагает, что данное преступление - типичное и пытается применять те же самые подходы, методы, способы поиска доказательств, которые уже приносили успех в аналогичных делал. Чем более типично данное преступление, тем скорее такой подход принесет успех. Если же личный опыт невелик, следует обратиться к коллективному опыту коллег. Именно такой формализованный опыт, система знаний о типичном преступлении определенного класса и называется криминалистической характеристикой.
Она включает следующее:
• способ совершения преступления, предмет посягательства:
• личность вероятного преступника и вероятные его мотивы;
• личность вероятного потерпевшего;
• механизм образования следов:
• обстановка и другие типичные обстоятельства.
В литературе имеется несколько вариантов состава криминалистической характеристики, у разных криминалистов разные представления о необходимой степени ее подробности. Но все варианты более-менее похожи. Будем придерживаться вышеуказанного состава.
Большинство исследователей пишет о криминалистической характеристике трех видов преступлений, деля все рассматриваемые преступления по составам трех статей УК РФ - 272. 273 и 274. Вряд ли стоит настолько обобщать. Одной «компьютерной статьей УК охватывается сразу несколько преступных деяний, сильно отличающихся по личности преступника, по способу, по оставляемым следам. Например, психически неуравновешенный программист создал и распустил по Сети вирус, чтобы навредить всему миру, который он ненавидит. Другой пример: сотрудник рекламного агентства использует зомби-сеть (богнет) для рассылки спама в соответствии с полученным заказом. Оба они совершают преступление, предусмотренное статьей 273 УК - создание или использование вредоносных программ. Но что может быть общего в характеристиках этих двух преступлении?
Некоторые юристы договариваются даже до того, что рассматривают обобщенную криминалистическую характеристику для всех трех упомянутых составов.
В российском УК только три статьи, описывающих преступления в сфере компьютерной информации. В украинском УК - тоже три, в белорусском - семь, в казахском - одна, в киргизском – две, в эстонском -семь. При этом составы, по большому счету, одни и те же. Почему же криминалистических характеристик должна быть непременно три?
Разумеется, при анализе отталкиваться надо не от статей УК, а наоборот - группировать преступления по признаку общности их криминалистической характеристики.
Обсудим отдельные элементы криминалистической характеристики, а затем более подробно - криминалистическую характеристику каждого из видов компьютерных преступлении.
СТАТИСТИКА
Сталкиваясь в очередной раз с преступлением, следователь или оперуполномоченный вспоминает похожие дела из своей практики, предполагает, что данное преступление - типичное и пытается применять те же самые подходы, методы, способы поиска доказательств, которые уже приносили успех в аналогичных делал. Чем более типично данное преступление, тем скорее такой подход принесет успех. Если же личный опыт невелик, следует обратиться к коллективному опыту коллег. Именно такой формализованный опыт, система знаний о типичном преступлении определенного класса и называется криминалистической характеристикой.
Она включает следующее:
• способ совершения преступления, предмет посягательства:
• личность вероятного преступника и вероятные его мотивы;
• личность вероятного потерпевшего;
• механизм образования следов:
• обстановка и другие типичные обстоятельства.
В литературе имеется несколько вариантов состава криминалистической характеристики, у разных криминалистов разные представления о необходимой степени ее подробности. Но все варианты более-менее похожи. Будем придерживаться вышеуказанного состава.
Большинство исследователей пишет о криминалистической характеристике трех видов преступлений, деля все рассматриваемые преступления по составам трех статей УК РФ - 272. 273 и 274. Вряд ли стоит настолько обобщать. Одной «компьютерной статьей УК охватывается сразу несколько преступных деяний, сильно отличающихся по личности преступника, по способу, по оставляемым следам. Например, психически неуравновешенный программист создал и распустил по Сети вирус, чтобы навредить всему миру, который он ненавидит. Другой пример: сотрудник рекламного агентства использует зомби-сеть (богнет) для рассылки спама в соответствии с полученным заказом. Оба они совершают преступление, предусмотренное статьей 273 УК - создание или использование вредоносных программ. Но что может быть общего в характеристиках этих двух преступлении?
Некоторые юристы договариваются даже до того, что рассматривают обобщенную криминалистическую характеристику для всех трех упомянутых составов.
В российском УК только три статьи, описывающих преступления в сфере компьютерной информации. В украинском УК - тоже три, в белорусском - семь, в казахском - одна, в киргизском – две, в эстонском -семь. При этом составы, по большому счету, одни и те же. Почему же криминалистических характеристик должна быть непременно три?
Разумеется, при анализе отталкиваться надо не от статей УК, а наоборот - группировать преступления по признаку общности их криминалистической характеристики.
Обсудим отдельные элементы криминалистической характеристики, а затем более подробно - криминалистическую характеристику каждого из видов компьютерных преступлении.
СТАТИСТИКА
Поскольку криминалистическая характеристика выводится из опыта требуется большое количество совершенных и расследованных преступлений каждого типа. С компьютерными преступлениями дело обстоит не так, как с квартирными кражами или угонами автотранспорта. Их совершается относительно немного, а выявляется и расследуется - и того меньше. Потому приведенную в источниках статистическую информацию следует воспринимать не как свыше данную истину, а лишь как первое приближение к будущим характеристикам, которые появятся после накопления значительного опыта.
Кстати, об опыте. Некоторые авторы приводят в криминалистической характеристике статистические данные о личности преступника или обстановке. Например, столько-то процентов преступников моложе 25 лет. столько-то процентов из них мужского пола, такая-то часть работает в отрасли ИТ и связи т.д. Подобную статистику нельзя считать состоятельной, так как большая часть компьютерных преступлений остается латентной. Раскрывается меньшая часть из них, причем раскрываются лишь простейшие их виды. А криминалистическая характеристика относится ко всем преступлениям - и прочим, и сложным. Статистика же подсчитывается только по раскрытым.
Возьмем для примера такой сложный вид преступления, как построение зомби-сетей. Он должен квалифицироваться по статье 273 УК. Однако раскрытий такого рода преступлений в России вообще не было, а по всему миру было 3 или 4 случая. А теперь подумаем, какое значение для поиска «зомбиводов» будет иметь утверждение, что «40 % преступников имели среднее специальное образование». Учитывая, что статистика эта подсчитана только по раскрытым эпизодам ст. 273 УК, а из них около 3/4 -это навешивание 273-й статьи в нагрузку к нарушению авторских прав (строго говоря, неправомерное).
Таким образом, не целесообразно использовать не только классификацию компьютерных преступлении по статьям УК, но и судебно-следственную статистику для криминалистической характеристики.
ЛИЧНОСТЬ ВЕРОЯТНОГО ПРЕСТУПНИКА
Оценивая вероятного преступника, важнее всего для нас установить уровень его компетенции в области ИТ. Этот параметр является критическим. В технических методах борьбы, в соревнованиях «спрятать-найти» или «стереть-восстановить» уровень специальных знаний является решающим.
Когда квалификация подозреваемого неизвестна, ее следует предполагать высокой.
С той же целью специалисту или следователю имеет смысл до поры скрывать свой собственный уровень познаний в ИТ перед подозреваемым.
Приведем пример. Изымая компьютер во время обыска (если застали его включенным), специалист должен решить, следует ли применить штатную процедуру выключения или выключить компьютер грубым прерыванием электропитания. С одном стороны, при грубом обесточивании может пропасть некоторое количество данных, как правило, не очень существенных. Но лучше бы их сохранить. С другой стороны, у некоторых хакеров (в дурном значении этого слова) есть противная привычка оснащать свой компьютер логической бомбой, срабатывание которой связано с командой выключении компьютера (shutdown). Поэтому при использовании штатного выключения есть риск уничтожить все улики собственными руками. Какой вариант выбрать, зависит от того, как мы оцениваем уровень квалификации владельца компьютера. При невозможности оценить этот уровень компьютер выключается прерыванием электропитания, то есть в расчете на наличие логической бомбы.
Существует несколько типичных образов компьютерных преступников (условно):
- хакер;
- инсайдер;
- белый воротничок;
- Е-бизнесмен;
- антисоциальный тип.
ОПЕРАТИВНОСТЬ
Некоторые отмечают особое значение оперативности действий при раскрытии и расследовании компьютерных преступлений. Ссылаются на относительно быструю по сравнению с другими видами преступлении утрату доказательств, а также на оперативность связи между сообщниками, которые могут быстро предпринять действия по уничтожению улик и иному воспрепятствованию следственным органам.
Действительно ли это так?
Компьютерная информации бывает короткоживущей. Бывает она и долгоживущей. Даже всерьез говорят о компьютерной археологии (цифровой археологии), то есть поиске и изучении «Древней» компьютерной информации ради получения исторических и обществоведческих сведений. Неоднократно отмечались случаи, когда человек, казалось бы безвозвратно утративший информацию со своею компьютера, находил ее в Сети и таким образом восстанавливал.
Логи хранится не вечно. Но насколько долго? Здравый смысл подсказывает, что хранить их стоит до тех пор. пока они могут пригодиться. В зависимости от содержания логов, этот период полезности соответствует периодичности подсчета статистики, сроку действия клиентского договора, периодичности оплаты услуг, сроку исковой давности. В некоторых случаях длительность хранения логов установлена нормативными актами. Например, постановление Правительства РФ №53» устанавливает трехлетний срок хранения сведений об абонентах и их «расчетах за оказанные услуги связи, в том числе о соединениях, трафике и платежах». Многие предприятия хранят логи до истечения сроков исковой давности. Некоторые хранят информацию столько времени, на сколько хватает места на диске. В общем, сроки хранения во многих случаях могут быть весьма значительными и даже превышать сроки хранения бумажных документов. В отличие от бумажных. электронные документы обходится в хранении и обработке несравненно дешевле.
Что касается оперативной связи между сообщниками по компьютерным преступлениям, то все используемые ими способы связи никак не оперативнее обычного телефона, которым пользуются все преступники на протяжении последних десятилетий. Вспомним также об отнюдь не повсеместном доступе к компьютеру и к Сети, об относительно медленной электронной почте, о разнице во времени между сообщниками из разных стран. Заключим в результате, что для среднего «компьютерного» преступника скорость связи с сообщниками вряд ли отличается от скорости связи для среднего мошенника или взяточника.
Возможность быстрого уничтожения цифровых следов и прочих доказательств в ряде случаев, безусловно, присутствует. Стереть один файл можно столь же быстро, как смыть в унитаз один грамм героина. Но вот стирание (а тем более, затирание с гарантией от восстановлении) содержимого всею диска занимает десятки минут. В случаях, когда информация находится на удаленных компьютерах, добавляется еще время получения доступа к ним. Уничтожить основные доказательства такого занятия, как фишинг, займет не один час, если не позаботиться обо всей заранее. Вспомним, что могут успеть за один час преступники, совершившие офлайновые преступлении: выбросить в реку пистолет, заменить капот и радиатор после наезда на пешехода, отдать родственнику полученные в виде взятки деньги, выстирать испачканную кровью одежду, сжечь фальшивый паспорт, иногда даже убрать сообщника.
Видно, что оперативность действий по фиксации и изъятию доказательств для расследования компьютерных преступлений столь же важна, как дли многих иных преступлений. Поэтому отличительной особенностью компьютерных преступлений не является.
ПРИОРИТЕТНОСТЬ РАССЛЕДОВАНИЯ
Ввиду большого количества компьютерных преступлений никто уже всерьез не рассчитывает на возможность расследовать их все. На каких именно фактах стоит сосредоточиться правоохранительный органам и службам безопасности, зависит от следующих факторов:
• Вид и размер ущерба. Очевидно, что более общественно опасными являются те из компьютерных преступлений, которые подразумевают насилие (по сравнению с теми, которые лишь наносит материальный ущерб). Также более приоритетными являются преступления, посягающие на права несовершеннолетних и иных менее защищенных субъектов.
• Распространенность. Как известно, раскрытие преступления и наказание преступника также в некоторой мере воздействуют на потенциальных правонарушителей. Поэтому раскрывать часто встречающиеся типы преступлений при прочих равных важнее, чем редкие типы преступлений.
• Количество и квалификация персонала. В зависимости от того, сколько имеется сотрудников и насколько они квалифицированы, стоит браться за те или иные компьютерные преступления. Слишком сложные начинать расследовать бесполезно.
• Юрисдикция. Предпочтительными являются преступления, не требующие задействовать иностранные правоохранительные органы. Наиболее быстрый результат получается при расследовании преступлений, локализованных в пределах одного города.
• Политика. В завнснмостн от текущих политических установок, могут быть признаны более приоритетными некоторые виды компьютерных преступлений. Не потому, что они более общественно опасны, но потому, что их раскрытие повлечет больший пиар-эффект или большее одобрение начальства.
Исходя из выше изложенного, потерпевшему, эксперту, специалисту или иному лицу следует учитывать, что на практике правоохранительные органы берутся не за любые компьютерные преступления или проявляют разную степень энтузиазма в зависимости от вышеперечисленных обстоятельств.
Некоторые отмечают особое значение оперативности действий при раскрытии и расследовании компьютерных преступлений. Ссылаются на относительно быструю по сравнению с другими видами преступлении утрату доказательств, а также на оперативность связи между сообщниками, которые могут быстро предпринять действия по уничтожению улик и иному воспрепятствованию следственным органам.
Действительно ли это так?
Компьютерная информации бывает короткоживущей. Бывает она и долгоживущей. Даже всерьез говорят о компьютерной археологии (цифровой археологии), то есть поиске и изучении «Древней» компьютерной информации ради получения исторических и обществоведческих сведений. Неоднократно отмечались случаи, когда человек, казалось бы безвозвратно утративший информацию со своею компьютера, находил ее в Сети и таким образом восстанавливал.
Логи хранится не вечно. Но насколько долго? Здравый смысл подсказывает, что хранить их стоит до тех пор. пока они могут пригодиться. В зависимости от содержания логов, этот период полезности соответствует периодичности подсчета статистики, сроку действия клиентского договора, периодичности оплаты услуг, сроку исковой давности. В некоторых случаях длительность хранения логов установлена нормативными актами. Например, постановление Правительства РФ №53» устанавливает трехлетний срок хранения сведений об абонентах и их «расчетах за оказанные услуги связи, в том числе о соединениях, трафике и платежах». Многие предприятия хранят логи до истечения сроков исковой давности. Некоторые хранят информацию столько времени, на сколько хватает места на диске. В общем, сроки хранения во многих случаях могут быть весьма значительными и даже превышать сроки хранения бумажных документов. В отличие от бумажных. электронные документы обходится в хранении и обработке несравненно дешевле.
Что касается оперативной связи между сообщниками по компьютерным преступлениям, то все используемые ими способы связи никак не оперативнее обычного телефона, которым пользуются все преступники на протяжении последних десятилетий. Вспомним также об отнюдь не повсеместном доступе к компьютеру и к Сети, об относительно медленной электронной почте, о разнице во времени между сообщниками из разных стран. Заключим в результате, что для среднего «компьютерного» преступника скорость связи с сообщниками вряд ли отличается от скорости связи для среднего мошенника или взяточника.
Возможность быстрого уничтожения цифровых следов и прочих доказательств в ряде случаев, безусловно, присутствует. Стереть один файл можно столь же быстро, как смыть в унитаз один грамм героина. Но вот стирание (а тем более, затирание с гарантией от восстановлении) содержимого всею диска занимает десятки минут. В случаях, когда информация находится на удаленных компьютерах, добавляется еще время получения доступа к ним. Уничтожить основные доказательства такого занятия, как фишинг, займет не один час, если не позаботиться обо всей заранее. Вспомним, что могут успеть за один час преступники, совершившие офлайновые преступлении: выбросить в реку пистолет, заменить капот и радиатор после наезда на пешехода, отдать родственнику полученные в виде взятки деньги, выстирать испачканную кровью одежду, сжечь фальшивый паспорт, иногда даже убрать сообщника.
Видно, что оперативность действий по фиксации и изъятию доказательств для расследования компьютерных преступлений столь же важна, как дли многих иных преступлений. Поэтому отличительной особенностью компьютерных преступлений не является.
ПРИОРИТЕТНОСТЬ РАССЛЕДОВАНИЯ
Ввиду большого количества компьютерных преступлений никто уже всерьез не рассчитывает на возможность расследовать их все. На каких именно фактах стоит сосредоточиться правоохранительный органам и службам безопасности, зависит от следующих факторов:
• Вид и размер ущерба. Очевидно, что более общественно опасными являются те из компьютерных преступлений, которые подразумевают насилие (по сравнению с теми, которые лишь наносит материальный ущерб). Также более приоритетными являются преступления, посягающие на права несовершеннолетних и иных менее защищенных субъектов.
• Распространенность. Как известно, раскрытие преступления и наказание преступника также в некоторой мере воздействуют на потенциальных правонарушителей. Поэтому раскрывать часто встречающиеся типы преступлений при прочих равных важнее, чем редкие типы преступлений.
• Количество и квалификация персонала. В зависимости от того, сколько имеется сотрудников и насколько они квалифицированы, стоит браться за те или иные компьютерные преступления. Слишком сложные начинать расследовать бесполезно.
• Юрисдикция. Предпочтительными являются преступления, не требующие задействовать иностранные правоохранительные органы. Наиболее быстрый результат получается при расследовании преступлений, локализованных в пределах одного города.
• Политика. В завнснмостн от текущих политических установок, могут быть признаны более приоритетными некоторые виды компьютерных преступлений. Не потому, что они более общественно опасны, но потому, что их раскрытие повлечет больший пиар-эффект или большее одобрение начальства.
Исходя из выше изложенного, потерпевшему, эксперту, специалисту или иному лицу следует учитывать, что на практике правоохранительные органы берутся не за любые компьютерные преступления или проявляют разную степень энтузиазма в зависимости от вышеперечисленных обстоятельств.
Комментариев нет:
Отправить комментарий