Основным принципом формирования информационно-компьютерных моделей является ранжирование их по сложности способов реализации противоправных действий, включая используемые IT-технологии и корреляции с этими способами уровня компетенции преступников, состава преступной группы или сообщества. Корреляционные связи существуют также между способом компьютерного преступления и компьютерной грамотностью потерпевшего, которая также может иметь разные уровни по компетентности: неопытный пользователь, квалифицированный пользователь; специалист в области IT-технологий и пр.
Приведем несколько примеров. Один из главных способов несанкционированного доступа к компьютерным системам — это использование троянских программ, которые распространяются через массовые рассылки электронных писем с вредоносными вложениями или ссылками. Такие письма могут выглядеть как полезные документы или официальные сообщения, чтобы обманом заставить пользователя открыть вложение или перейти по ссылке. В результате в систему загружается и устанавливается троянская программа, которая использует уязвимости в безопасности для получения доступа к данным и ресурсам компьютера. Данный способ распространения вредоносного программного обеспечения настолько востребован, что пользователям постоянно советуют не открывать неизвестных вложений и не переходить, но неизвестным ссылкам, прикрепленным к электронным письмам. Но, несмотря на предупреждения, многие пользователи все равно открывают электронные сообщения от неизвестных лиц или следуют по предложенным непонятным ссылкам. Использование этого способа дает представление об уровне компетенции как преступника, так и потерпевшего.
Более сложные способы основаны на модульной структуре, где дополнительный модуль отвечает за определенные действия, но работает только вместе с основным модулем на зараженном компьютере, когда информация собирается основным модулем и передается на управляющий сервер, который активизирует дополнительные модули для осуществления преступных целей. Таким образом, атакуются не только компьютеры частных пользователей, но и крупные корпоративные сети, например для кражи денег или конфиденциальных данных. Очевидно, что для подготовки, совершения и сокрытия подобных преступлений необходимо участие группы или сообщества, обладающих высоким уровнем компетенции в области IT-технологий. Потерпевшая сторона здесь будет представлена значительно более квалифицированными пользователями или системными администраторами [393].
При разработке методик расследовании компьютерных преступлений весьма важное значение имеет анализ следственных ситуаций. Поскольку подготовка к совершению компьютерного преступления сразу включает действия по сокрытию, случаи когда исходные следственные ситуации носят благоприятный характер — это скорее исключения из общего правила, однако хотя и редко, но встречаются. Характер и обстоятельства дела известны, например, потерпевшим собственными силами установлено, каким способом осуществлен несанкционированный доступ в компьютерную сеть. Преступник известен и задержан (явился с повинной). Эта ситуация предполагает содействие (отсутствие противодействия) расследованию со стороны преступника. В этом случае получение криминалистически значимой информации в виде цифровых следов может быть осуществлено непосредственно от него на отдельных носителях или из компьютерной системы.
При неблагоприятной исходной следственной ситуации, когда известны потерпевшие, например, налицо только преступный результат — дезорганизация компьютерной сети, а способ преступления и преступник неизвестны, цифровые следы могут выявляться при проведении осмотра места происшествия или обыска с участием специалиста. Однако в настоящее время многие следователи пока не готовы к решению сложных задач, связанных с собиранием цифровых следов или выявлением действия вредоносных программ. Один из вариантов решения проблемы в уголовном судопроизводстве предложен законодателем, когда в соответствии с ч. 2 ст. 164.1 УПК РФ в обязательном порядке «для копирования информации на другие электронные носители (т. е. фактически изъятие цифровых следов) (курсив мой, — Е.Р.) в процессе следственного действия привлекается специалист». Но, к сожалению, дефиниция «электронный носитель информации» законодателем в УПК РФ не определена, отсутствует она и в Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». К тому же сомнительно, что обозначенный как электронный носитель информации удаленный сервер, особенно если он находится за пределами России, может быть изъят.
Но, что самое важное, не урегулирован и вопрос о выборе специалиста следователем. Следователь, имея весьма приблизительное представление о задачах, которые он должен поставить перед специалистом и о профессиональной компетенции этого специалиста, зачастую привлекает в качестве специалистов случайных лиц, не имеющих необходимых компетенций и инструментального компьютерно-технического обеспечения для выявления, фиксации и изъятия цифровых следов. Его некомпетентность может привести к непоправимым изменениям криминалистически значимой компьютерной информации и утрате ею доказательственного значения.
Наилучшим выходом в этой ситуации в настоящее время является назначение судебной компьютерно-технической экспертизы, в ходе которой по цифровым следам будут установлены способы совершения преступления и определена компетенция преступников в области IT-технологий, возможное их местонахождение, число и другие важные обстоятельства дела. Эта информация дает возможность выдвинуть следственные версии, составить план расследования, принять обоснованные тактические решения.
Что касается третьей самой неблагоприятной ситуации, когда становится известно (в том числе из источников оперативной информации) о неких противоправных проникновениях в компьютерные сети, возможно не только с территории России, причем очевидно, что в этом участвовали не отдельные лица, а организованные преступные сообщества, для решения вопроса о возбуждении уголовного дела могут привлекаться как специалисты в области защиты информации (предварительные исследования), так и в соответствии с ч. 1 ст. 144 и ч. 4 ст. 195 УПК РФ назначаться судебные компьютерно-технические экспертизы.
Трудности с выявлением цифровых следов, исследование которых позволяет перевести неблагоприятную следственную ситуацию в более благоприятное для расследования русло, осложняются противодействием расследованию со стороны преступных групп и сообществ, а также пассивным противодействием выявлению и расследованию компьютерных преступлений, оказываемым потерпевшей стороной. Преступники оказывают противодействие выявлению изъятию компьютерной информации в виде цифровых следов путем шифрования компьютерных данных с помощью специализированного программного обеспечения либо создания возможностей быстрого уничтожения данных с использованием специальных программ или устройств.
Существенная роль в следственной ситуации отводится потерпевшей стороне. Информация о ней является, безусловно, криминалистически значимой, поскольку помогает полнее охарактеризовать личность преступника, его мотивы, точнее очертить круг лиц, среди которых его следует искать. Преступник обычно неслучайно избирает потерпевшую сторону объектом своего посягательства. Пассивное противодействие некоторых потерпевших — собственников компьютерных системы и сетей, которые, зачастую неохотно сообщают (или вообще не сообщают) правоохранительным органам о противоправных действиях в сфере компьютерной информации, обусловлено следующими причинами:
— мнением о некомпетентности сотрудников правоохранительных органов их неспособности раскрыть преступление;
— опасениями, что убытки от расследования превысят сумму причиненного ущерба, к тому же будет нанесен урон репутации фирмы;
— боязни раскрытия в ходе следствия и судебного разбирательства системы безопасности организации;
— боязни выявления собственных незаконных действий;
— боязни