Энциклопедия судебной экспертизы

Регистрационный номер в Роскомнадзоре ЭЛ №ФС77-51827

Журнал включен в базу данных РИНЦ

Тел: +7 (929) 677-34-06

E-mail: test@test.ru

/

Т. И. Абдурагимова, И. В. Трущенков. К вопросу о производстве обыска и выемки в целях обнаружения объектов для проведения судебной компьютерной экспертизы

Т. И. Абдурагимова

эксперт-криминалист

кандидат юридических наук, доцент

И. В. Трущенков

эксперт-криминалист

кандидат юридических наук

(г. Москва)

 

В статье анализируются особенности производства обыска и выемки по делам, связанным с использованием компьютерной техники, обосновывается необходимость внесения актуальных изменений в статьи Уголовно-процессуального кодекса Российской Федерации.

Ключевые слова: обыск; выемка; компьютерная экспертиза; объекты судебной компьютерной экспертизы; электронные носители информации; изменения в УПК.

 

А13

УДК 343.983

ББК 67.53

ГРНТИ 10.85.31

Код ВАК 12.00.12

 

T. I. Abduragimova, I. V. Trushhenkov. The issue of search and seizure in order to detect objects for the production of judicial computer forensics

 

T. I. Abduragimova

expert-criminalist

candidate of jurisprudence, associate professor

I. V. Trushhenkov

expert-criminalist

candidate of jurisprudence

(Moscow city)

 

The article analyzes the peculiarities of the police search and police cull production in cases related to the use of computer technology, the necessity of making actual changes to the articles of the criminal procedure code of the Russian Federation is substantiated.

Keywords: police search; police cull; computer forensic; the objects of forensic computer forensics; electronic media; changes in the criminal procedure code.

_____________________________________

Современное состояние мирового сообщества характеризуется всеобъемлющим проникновением компьютерных технологий в различные области человеческой деятельности – экономическую, социальную, управленческую и другие. Одним из актуальнейших направлений развития деятельности экспертно-криминалистических подразделений ОВД является производство судебных компьютерных экспертиз по уголовным делам, а также исследований компьютерных средств по заданиям следственных и оперативных аппаратов внутренних дел и других ведомств. Важным подготовительным этапом данной работы является подготовка и осмотр места происшествия, а также изъятие объектов для проведения судебной компьютерной экспертизы (СКЭ). В связи с этим, особую сложность представляет производство осмотров, обысков и выемок при раскрытии и расследовании преступлений в сфере экономики, а также компьютерной информации.

Так, в статье 81.1 УПК России регламентировано, что электронные носители информации, изъятые в ходе досудебного производства по уголовным делам о преступлениях, предусмотренных статьями 159, частями 5–7, 159.1–159.3, 159.5, 159.6, 160 и 165 Уголовного кодекса Российской Федерации, если эти преступления совершены в сфере предпринимательской деятельности, а также статьями 171–174.1, 176–178, 180–183, 185–185.4 и 190–199.2 Уголовного кодекса Российской Федерации признаются вещественными доказательствами и приобщаются к материалам уголовного дела, и, в дальнейшем, очевидно, могут являться объектами СКЭ. В процессе досудебного производства по уголовным делам о преступлениях, предусмотренных ст. 272–274 УК России, также изымаются электронные носители информации, которые приобщаются к уголовному делу и исследуются.

При осмотрах, обысках, выемках, сопряжённых с изъятием объектов СКЭ, возникает ряд общих проблем, связанных со спецификой изымаемых объектов. Так, необходимо исключить действия, предпринимаемые преступниками с целью уничтожения вещественных доказательств. Выключение компьютерной техники с целью её изъятия допускается только после осмотра высококвалифицированным специалистом в сфере компьютерных технологий. Эта мера является крайне необходимой для установления паролей к системе, сохранения программного обеспечения, оснащённого функцией самоуничтожения, а также расшифровки зашифрованных данных. Поэтому мы считаем, что при наличии в помещении компьютеров при производстве осмотра или обыска обязательно следует включить в группу, производящую осмотр (обыск), эксперта по компьютерной технике.

Законодатель, подчеркивая актуальность данной проблемы, внёс Федеральным законом от 28.07.2012 № 143-ФЗ[1] изменения в Уголовно-процессуальный кодекс Российской Федерации, а именно, в ст.ст. 182 и 183 УПК России, регламентирующие основания и порядок производства обыска и выемки. Так, указанные правовые нормы предусматривают, что при производстве обыска и выемки изъятие электронных носителей информации производится с участием специалиста. По ходатайству законного владельца изымаемых электронных носителей информации или обладателя содержащейся на них информации специалистом, участвующим в следственном действии, в присутствии понятых с изымаемых электронных носителей информации осуществляется копирование информации на другие носители. Не допускается копирование информации, если это может воспрепятствовать расследованию преступления либо, по заявлению специалиста, повлечь за собой утрату или изменение информации. Электронные носители информации, содержащие скопированную информацию, передаются законному владельцу изымаемых электронных носителей информации или обладателю содержащейся на них информации, о чём в протоколе делается запись. Однако, несмотря на то, что по уголовным делам в сфере экономики и в сфере компьютерной информации осмотр места происшествия в большинстве случаев фактически представляет собой скрытый обыск и, как правило, сопровождается изъятием электронных носителей данных, в ст.ст. 176 и 177 УПК России, регламентирующие основания и порядок производства осмотра, подобные изменения внесены не были.

Следует заметить, что для технически грамотного производства подобных следственных действий, совершенно недостаточно наличия у специалиста поверхностных знаний в сфере компьютерных технологий, которыми обладает большинство пользователей ПК, в том числе следователи и специалисты-криминалисты. Приоритетными являются специалисты со знаниями в таких областях, как: функционирование операционных систем, основы доступа и сохранения содержимого оперативной памяти, организация компьютерных сетей, поиск скрытой компьютерной информации, следовая картина при использовании вредоносных программ.

Особенно важным является участие специалиста в области судебной компьютерной экспертизы при осмотре и обыске по делам, в которых предполагается применение злоумышленниками вредоносного программного обеспечения (например, при хищении денежных средств через системы дистанционного банковского обслуживания), так как зачастую следы их работы остаются в памяти работающего компьютера, и удаляются без возможности их восстановления после его выключения.

По прибытии на место проведения следственного действия следователем (лицом, проводящим дознание) и специалистом должны быть предприняты меры к обеспечению сохранности компьютерной техники и имеющихся на накопителях информации данных. При обнаружении программных средств защиты компьютерной техники от несанкционированного доступа следует принять меры к установлению и изъятию ключей доступа (паролей). При обнаружении работающей компьютерной системы специалисту необходимо обеспечить сохранение информации, содержащейся в энергозависимой памяти устройства (оперативной памяти). В некоторых случаях (при наличии программных и аппаратных систем защиты данных) следует также обеспечить поиск и сохранение данных из энергонезависимой памяти (с устройств хранения) на накопитель информации специалиста.

Для сохранения информации необходимо:

– изучить изображение на экране дисплея и определить, какие программы выполняются, при этом желательно зафиксировать изображение методами фотографирования или видеозаписи, а также прервать процесс удаления данных, если он выполняется;

– определить наличие у компьютера внешних устройств хранения данных, а также облачных дисков, при необходимости подключить внешний накопитель специалиста и осуществить побайтовое копирование на него образов внешних и облачных логических и физических дисков.

– определить возможности управления компьютером с помощью устройств удалённого доступа к системе (что следует отразить в протоколе), после чего отсоединить сетевой кабель LAN или отключить адаптер доступа к беспроводным сетям таким образом, чтобы никто не мог изменить или стереть информацию в ходе следственного действия;

– осуществить снятие и сохранение дампа энергозависимой памяти (RAM) на накопитель специалиста с помощью специального программного обеспечения для его последующего изучения в рамках компьютерной экспертизы [1].

Эти меры могут помочь экспертам в лабораторных условиях осуществить снятие систем защиты и шифрования, а также получить доступ к системе и доказательственной информации [2].

Очевидно, что ни следователь, ни специалист-криминалист, не обладающие необходимым объёмом специальных знаний, не могут технически грамотно выполнить указанные действия. Практика показывает, что затруднения у следователей и оперативных работников вызывает сам процесс изъятия компьютерной техники, её описание в протоколах следственных действий, правильная упаковка и транспортировка. Кроме того, производство обыска по делам, связанным с использованием компьютерной техники, не всегда подразумевает изъятие электронных носителей информации.

В настоящее время в органах внутренних дел нет необходимого штата специалистов в области современных информационных технологий, которые могли бы участвовать в следственных действиях в составе следственно-оперативных групп. Чрезвычайная загруженность экспертов ЭКЦ при производстве постоянно нарастающего количества судебных компьютерных экспертиз не позволяет им участвовать в качестве специалистов в производстве осмотров, обысков и выемок по всем уголовным делам в данной сфере. В связи с этим, считаем важным обсудить вопрос о необходимости повышения квалификации следователей в отношении изъятия современной компьютерной техники и мобильных устройств. Подобные курсы повышения квалификации для следователей и оперативных сотрудников могли бы быть организованы, к примеру, на базе Московского университета МВД России имени В. Я. Кикотя как головного учебного заведения высшего профессионального образования.

Представляется актуальным внесение соответствующих изменений в Уголовно-процессуальный кодекс Российской Федерации. Так, пункт 9.1 статьи 182 УПК России предлагается изложить в следующей редакции: «При расследовании дел, связанных с использованием компьютерных средств и технологий, производство обыска осуществляется следователем, обладающим необходимыми специальными знаниями в области компьютерной техники. Выключение работающих электронных устройств осуществляется только после копирования информации с энергозависимых носителей информации. Электронные носители информации изымаются с участием специалиста. По ходатайству законного владельца изымаемых электронных носителей информации или обладателя содержащейся на них информации специалистом, участвующим в обыске, в присутствии понятых, с изымаемых электронных носителей информации осуществляется копирование информации. Копирование информации осуществляется на другие электронные носители информации, предоставленные законным владельцем изымаемых электронных носителей информации или обладателем, содержащейся на них информации. При производстве обыска не допускается копирование информации, если это может воспрепятствовать расследованию преступления либо, по заявлению специалиста, повлечь за собой утрату или изменение информации. Электронные носители информации, содержащие скопированную информацию, передаются законному владельцу изымаемых электронных носителей информации или обладателю, содержащейся на них информации. Об осуществлении копирования информации и о передаче электронных носителей информации, содержащих скопированную информацию, законному владельцу изымаемых электронных носителей информации или обладателю содержащейся на них информации в протоколе делается запись». В аналогичной редакции предлагается изложить и п. 3.1 ст. 183 УПК России. В связи с тем, что осмотр места происшествия является неотложным следственным действием, осуществляемым, как правило, до производства обыска или выемки, мы предлагаем внести подобные изменения в ст. 177 УПК России. Целесообразно внести в ст. 177 УПК России пункт 7 в следующей редакции: «Осмотр места происшествия в целях обнаружения следов преступления, связанного с использованием компьютерных средств и технологий, осуществляется следователем, обладающим необходимыми специальными знаниями в области компьютерной техники. Выключение работающих электронных устройств осуществляется только после копирования информации с энергозависимых носителей информации. Электронные носители информации изымаются с участием специалиста».

Данный вопрос, безусловно, является дискуссионным, но, по-нашему мнению, сложившаяся практика производства следственных действий по рассматриваемым делам следователем, не обладающим необходимыми специальными знаниями, а также без участия специалиста, ведёт к утрате ценнейшей доказательственной базы и прямо противоречит назначению уголовного судопроизводства.

 

Литература:

1. Суханов М. Инструкция по реагированию на инциденты, связанные с системами дистанционного банковского обслуживания. Group-IB. [Электронный ресурс] URL:http://www.group-ib.ru/images/files/Group-IB_dbo_instruction.pdf

2. Голубев В. Некоторые вопросы расследования компьютерных преступлений. [Электронный ресурс] URL:http://www.skte.narod.ru/lib016.htm


[1] Федеральный закон от 28.07.2012 № 143-ФЗ «О внесении изменений в уголовно-процессуальный кодекс Российской Федерации».

Комментарии могут оставлять только зарегистрированные и авторизованные пользователи.

  • Новости

  • Реклама

    /
  • Архив номеров

    • № 4 (19) 2018 Сборник содержит материалы Всероссийской конференции «Судебная портретная экспертиза на совреме...
    • № 1 (16) 2018 Общие вопросы — С. А. Волостных. Актуальные вопросы совершенствования требований присвоения сп...
    • № 1 (16) 2018 Теория и практика судебной экспертизы Автотехническая экспертиза: — Д. Д. Селюков. Сущность пр...
  • /