Лекційні матеріали
ТЕМА 6. Правопорушення в cфері високих інформаційних технологій. Особливості методики
розслідування комп’ютерних злочинів
- 1. Поняття та сутність злочинів, що вчиняються в галузі комп’ютерних технологій, їх криміналістична характеристика і соціальна небезпека
- 2. Способи вчинення злочинів в галузі комп’ютерних технологій
- 3. Правові і техніко-криміналістичні аспекти злочинів, що вчиняються в галузі комп’ютерних технологій
- 4. Проблеми попередження злочинів, пов’язаних з використанням комп'ютерних технологій. Захист інформації в автоматизованих системах
- 5. Особливості методики виявлення та розслідування злочинів, що вчиняються в галузі інформаційних технологій
- Рекомендована література
1. Поняття та сутність злочинів, що вчиняються в галузі комп’ютерних технологій, їх криміналістична характеристика і соціальна небезпека
Сучасний світ практично неможливо уявити без нових інформаційних технологій, в основі яких лежить широке використання комп’ютерної техніки та новітніх засобів комунікацій. Сьогодні комп’ютери впроваджуються в різноманітні галузі людської діяльності. Безліч організацій та установ широко використовують їх у своїй повсякденній діяльності, переважна більшість грошових контрактів здійснюється за допомогою комп’ютерів у формі депонування. При цьому діяльність більшості організацій в значній мірі залежить від функціональних можливостей їх системи обробки даних.
Перехід України до ринкової економіки призвів до виникнення багатьох банків та фірм, ефективна діяльність яких практично неможлива без використання комп’ютерів.
Разом із зручностями від використання комп’ютерної техніки виникає ризик втрати важливої інформації, тому що досить часто комп’ютер використовується як "безпечний склад" для збереження інформації. Так, багато користувачів зберігають свої важливі службові та комерційні таємниці в комп’ютерах у вигляді банків даних. При цьому більшість з них навіть не ознайомлені з необхідністю прийняття заходів щодо захисту комп’ютерної інформації.
За даними ФБР, в останній час в США, Західній Європі, Австралії, Японії та в країнах СНД спостерігається зріст рівня злочинних актів щодо інформаційних систем, що являє погрозу як окремим організаціям та установам, так й економіці кожної країни та суспільства в цілому.
Нові інформаційні технології все ширше впроваджуються в практику правоохоронних органів. Так, в МВС України функціонує значна кількість автоматизованих систем оперативно-розшукового і профілактичного призначення, де обробляються величезні масиви інформації, в тому числі таємної чи призначеної для службового користування. Тому проблема захисту інформації, що зберігається та обробляється в комп’ютерних системах МВС від несанкціонованого доступу, її підробки, проникнення комп’ютерних вірусів і т. ін. сьогодні є особливо актуальною.
Крім того, сьогодні глобальні інформаційні мережі, у тому числі й ІNTERNET, стрімко криміналізуються. Вони не тільки стають своєрідним довідником злочинців, але й нерідко служать оригінальним місцем “сходок” злочинців. Тому проблема боротьби із злочинністю в сфері використання нових інформаційних технологій сьогодні набуває особливої гостроти та актуальності.
Проблема захисту інформації в комп’ютерних системах набула актуальності в нашій країні та за кордоном вже давно. Останнім часом в світі спостерігається швидкий зріст злочинності у сфері використання комп’ютерної техніки. Такий вид злочинних проявів отримав у літературі назву "Комп’ютерні злочини" (або кіберзлочини).
Злочинність в галузі комп’ютерних технологій – це суспільно небезпечна діяльність чи бездіяльність, що здійснюється з використанням засобів обчислювальної техніки з метою спричинення майнового або суспільного збитку інтересам держави, підприємств, організацій, відомств, громадських формувань та громадян, а також правам особистості. При цьому комп’ютери можуть виступати як об’єкт, а також як знаряддя вчинення злочинів.
Криміналістична характеристика такого виду злочинів відрізняється від відомих криміналістичній науці злочинних посягань певною специфікою. В першу чергу, до неї повинні входити криміналістично значимі відомості про особу правопорушника, мотивації та цілі його злочинної поведінки, типових способах, предметах і місцях посягань, а також відомості про потерпілу сторону.
У більшості випадків метою такого виду злочинів є вигода. Останнім часом злочини вчиняються також за політичними мотивами (шпіонаж, тероризм), із-за дослідницького інтересу (студенти, професіонали-програмісти), із хуліганських мотивів та з метою помсти.
Особи, які скоюють злочини в галузі комп’ютерних технологій, можуть бути поділені на п’ять категорій.
Перша категорія осіб – це порушники правил користування ЕОМ. Сюди відноситься несанкціоноване використання комп’ютерів, розповсюдження вірусів і т. п.
Наступна категорія осіб – це так звані "хакери" (одержимі програмісти). Це найбільш підготовлені у технічному відношенні особи, які, вчиняючи злочини, часто не переслідують при цьому прямих матеріальних вигод. Для них має значення самоствердження, помста за образу, бажання пошуткувати і т. п.
Близька до розглянутої вище групи ще одна, що включає осіб, які страждають від нового виду психічних захворювань – інформаційними хворобами (комп’ютерними фобіями). Слід відмітити, що при наявності подібних фактів в процесі розкриття та розслідування злочину призначається судово-психіатрична експертиза на предмет встановлення осудності злочинця в момент скоєння ним злочинних дій. Злочинні дії цієї групи осіб в основному пов’язані з фізичним знищенням або пошкодженням засобів комп’ютерної техніки без наявності злочинного умислу, з частковою чи повною втратою контролю над своїми діями.
На більш високій соціальній сходинці знаходяться так звані респектабельні злочинці: бухгалтери, скарбники, адвокати, віце-президенти компаній і т. п. Для них властиві незаконне використання комп’ютера з метою моделювання передбачаємих злочинів, комп’ютерний шантаж конкурентів, фальсифікація та містифікація інформації і т. п. Мета таких злочинних дій – отримання матеріальної вигоди чи покриття інших злочинних дій.
Вища категорія – це особи, які займаються комп’ютерним шпигунством. Це підготовлені фахівці – професіонали. Їх ціллю є отримання важливих стратегічних даних про супротивника в економічній, політичній, технічній та інших галузях.
Як потерпіла сторона від злочинів цього виду здебільшого виступає юридична особа.
Виділяють три основні групи потерпілих від таких злочинів:
1) власники комп’ютерної системи;
2) клієнти, які користуються їх послугами;
3) інші особи.
Слід відзначити, що потерпіла сторона першої групи, як правило, неохоче повідомляє (якщо робить це взагалі) в правоохоронні органи про факт вчинення злочину. Це, зокрема, є одним з головних факторів, яким можна пояснити високий рівень латентності цих злочинів.
Практика свідчить, що зареєстровані комп’ютерні злочини виявляються, в основному, таким чином:
1. В результаті регулярних перевірок доступу до даних службами інформаційної безпеки (31%).
2. За допомогою агентурної роботи, а також при проведенні оперативних заходів по перевіркам заяв громадян (28%).
3. Випадково (19%).
4. У ході проведення бухгалтерських ревізій (13%).
5. Під час розслідування інших видів злочинів (10%).
На вирішення потерпілої сторони питання про звернення до правоохоронних органів по факту вчинення злочину впливають такі фактори:
- недостатня компетентність співробітників правоохоронних органів у цих питаннях;
- багато організацій обмежуються розв’язуванням конфлікту своїми силами, що досить часто завершується вжиттям заходів, які не виключають рецидив;
- боязнь підриву особистого авторитету, і, як наслідок, - втрата значної кількості клієнтів;
- розкриття в ході судового розгляду системи безпеки організації, що небажано для неї;
- боязнь можливості виявлення в ході розслідування злочину протизаконного механізму здійснення окремих видів фінансово-економічних операцій;
- низька юридична грамотність більшості посадових осіб у питаннях, що розглядаються і т. п.
Засоби комп’ютерної техніки можуть використовуватися злочинцями і як інструмент посягання на інші об’єкти, наприклад, як засіб впливу на адміністрацію з метою підвищення по службі. Як приклад можна навести судовий розгляд у відомій справі Роберта Т.Моріса про впровадження програми – черв’яка у мережу INTERNET у 1988 р. Ця програма не нанесла прямої матеріальної шкоди, тому що не були викрадені чи пошкоджені дані. Однак комп’ютерні центри втратили мільйони за час, який було втрачено на виявлення цієї програми, коли не могла виконуватися ніяка інша робота, а також час, що втрачено на перевірку та відновлення працездатності систем. Під час судового процесу обвинувачений підтвердив впровадження програми - черв’яка, але заявив, що це було зроблено без злого умислу, в результаті він був засуджений умовно. І таких випадків, коли умовне осудження вибиралося як покарання, чимало.
2. Способи вчинення злочинів в галузі комп’ютерних технологій
Стосовно злочинів, що вчиняються в галузі комп’ютерних технологій, найбільший інтерес являють сліди, що вказують на те, яким чином злочинець потрапив та зник з місця події, подолав перешкоди, використав своє службове становище, виконав поставлену злочинну мету, які знання, навички та фізичні зусилля використав, чи спробував скрити сліди своїх дій. Суттєві також сліди, що свідчать про характер зв’язку злочинця з предметом злочинного посягання і т. п.
Відомо, що спосіб вчинення злочину є у ряді складів необхідним елементом об’єктивної сторони злочину та входить до його кримінально-правової характеристики, а іноді служить й кваліфікуючою обставиною.
Однак, в кримінально-правовій характеристиці спосіб вчинення злочину подано у загальному вигляді (наприклад, спосіб відкритого або таємного розкрадання, проникнення у приміщення і т. ін.), для неї байдужі прийоми таємного розкрадання, конкретні способи проникнення, засоби, що використовуються при цьому, джерела їх отримання і т. д. В цьому випадку застосовується криміналістична характеристика способу вчинення злочину.
Якщо за основу класифікації покласти метод, що використовувався злочинцем для отримання доступу до засобів обчислювальної техніки, можна виділити такі п’ять основних груп:
1) вилучення засобів комп’ютерної техніки;
2) перехоплення інформації;
3) несанкціонований доступ;
4) маніпулювання даними та керуючими командами;
5) комплексні методи.
Характерною рисою першої групи способів скоєння злочинів є те, що в них засоби комп’ютерної техніки завжди виступають тільки як предмет злочинного посягання, а як знаряддя скоєння злочину використовуються інші інструменти чи технічні засоби (або без їхнього використання), які не є засобами комп’ютерної техніки.
До другої групи відносять способи, де злочинцями використовуються методи аудіовізуального та електромагнітного перехоплення інформації. В цій та наступних групах, що розглядаються, засоби комп’ютерної техніки виступають як предмет, так і знаряддя скоєння злочину.
Перехоплення інформації поділяють на безпосереднє (активне), електромагнітне (пасивне), аудіоперехоплення, відеоперехоплення, а також спосіб, що носить назву “прибирання сміття”.
Безпосереднє (активне) перехоплення здійснюється за допомогою безпосереднього підключення до телекомунікаційного обладнання комп’ютера, комп’ютерної системи чи мережі, наприклад, до лінії принтера або телефонного проводу каналу зв’язку, що використовується для передачі комп’ютерної інформації, або безпосередньо через відповідний порт ПК. Методи, що використовуються для підключення з метою отримання паролю або іншої секретної інформації з телекомунікаційних систем, можуть бути реалізовані шляхом підключення до кабелю чи перехвату мікроволн від супутника та наземних радіостанцій.
Електромагнітне (пасивне) перехоплення базується на тому явищі, що робота електронних пристроїв (дисплеї, принтери) супроводжується електромагнітним випромінюванням. Так, сигнали з електронно-лучової трубки дисплея можна приймати, записувати і аналізувати з відстані понад 1000 м за допомогою стандартного телевізійного та відтворюючого устаткування, що може знаходитися, наприклад, у автомобілі.
Аудіоперехоплення – цей спосіб скоєння злочину є достатньо розповсюдженим та найбільш небезпечним. Захистити інформацію при цьому досить складно. Спосіб реалізується шляхом встановлення підслуховуючого пристрою - “таблетки”, “клопа”, “жучка” і т. п. в апаратуру засобів обробки інформації. При цьому іноді використовуються спеціальні акустичні та вібраційні датчики, які дозволяють знімати інформацію без безпосереднього проникнення до приміщення.
Відеоперехоплення – цей спосіб полягає в діях злочинця, спрямованих на отримання необхідної інформації шляхом використання різноманітної відеооптичної техніки (в тому числі й спеціальної). При цьому можуть використовуватися: підзорна труба, бінокль, пристрій нічного бачення, відео-фотоапаратура з відповідними оптичними насадками і т. п.
Прибирання сміття – цей спосіб скоєння злочину полягає у неправомірному використанні злочинцем технічних відходів інформаційного процесу, що залишені користувачем після роботи з комп’ютерною технікою. Він здійснюється у двох формах: фізичній та електронній.
Дотретьої групи способівскоєння злочинів відносять дії злочинця, які спрямовані на отримання несанкціонованого доступу до засобів комп’ютерної техніки. До них відносяться такі:
“За дурнем” – цей спосіб часто використовується злочинцем для проникнення у заборонні зони. наприклад, злочинець, держачи в руках предмети, які пов’язані з комп’ютерною технікою, (елементи маскування) чекає біля зачиненої двері таємного приміщення будь-кого, а потім разом з цією особою проникає до приміщення.
“За хвіст” – цей спосіб знімання інформації полягає в тому, що злочинець підключається до лінії зв’язку законного користувача та чекає сигналу, який означає кінець роботи, перехоплює його “на себе”, а потім, коли законний користувач закінчує активний режим, здійснює доступ до системи.
“Комп’ютерний абордаж” – здійснюється злочинцем шляхом підбору (випадкового або раніше здобутого) абонентного номеру комп’ютерної системи потерпілої сторони з використанням, наприклад, звичайного телефонного апарату. Потім підбирається пароль доступу до комп’ютерної системи (вручну чи з використанням спеціальних програм - “зломщиків”).
“Неспішний вибір” та “пролом”. При неспішному виборі здійснюється пошук уразливих місць у захисті комп’ютерної системи, у другому способі виявляються “проломи” у комп’ютерній системі (найчастіше - слабкі місця у програмному забезпеченні), котрі згодом можна використовувати в злочинних цілях.
“Маскарад” – злочинець проникає у комп’ютерну систему, видаючи себе за законного користувача. Системи комп’ютерного захисту, які не мають функцій аутентифікації користувача (наприклад, за біометричними параметрами: відбиткам пальців рук, малюнку сітчатки ока, голосу і т. п.) стають незахищеними від цього способу.
“Містифікація” – іноді користувач персонального комп’ютера підключається до чиєїсь системи, будучи впевненим у тому, що працює з необхідним йому абонентом. Цим фактом користується злочинець, формуючи правдоподібні відповіді на запити володаря інформаційної системи, до якої трапилось підключення, і підтримуючи цю помилку протягом певного часу, отримує необхідну інформацію, наприклад, коди доступу чи відгук на пароль.
“Аварійний” – злочинцем використовується той факт, що у будь-якому комп’ютерному центрі є спеціальна відлагоджувальна програма, яка дозволяє обійти засоби захисту інформації.
“Склад без стін” – несанкціонований доступ до комп’ютерної системи в цьому випадку досягається злочинцем шляхом використання системної поломки, в результаті якої виникає часткове чи повне порушення нормального режиму функціонування систем захисту даних.
До четвертої групи способів скоєння таких злочинів відносять дії злочинців, що пов’язані з використанням методів маніпулювання даними й керуючими командами. До найбільш широко використовуваних з них відноситься “підміна даних або коду” – дії злочинців спрямовані на зміну чи введення нових даних або кодів.
Всі комп’ютерні злочини поділяють на два види.
1. Злочини, в яких об’єктом скоєння є ЕОМ, вони пов’язані з втручанням у роботу комп’ютерів чи комп’ютерних мереж. Цей вид злочинів передбачає скоєння таких протиправних дій:
а) зіпсування або заміна даних, програмного забезпечення чи обладнання;
б) розкрадання даних, програмного забезпечення чи обладнання;
в) економічне чи промислове шпигунство, розголошення відомостей, які складають державну або комерційну таємницю.
2. Протиправні дії, для вчинення яких комп’ютер використовується як знаряддя злочину. Цей вид комп’ютерних злочинів включає: а) комп’ютерний саботаж; б) вимагання та шпигунство; в) розтрату; г) розкрадання коштів; д) обдурення споживачів, інвесторів чи користувачів.
Одною з найбільш поширених форм комп’ютерної злочинності є комп’ютерне шпигунство, яке, зокрема, у комерційному секторі, стосується сфери розрахункових рахунків, балансових документів (фінансових звітів) та адрес клієнтів, що зберігаються у комп’ютерах.
Новими цілями для шпигунства сьогодні є комп’ютерні прогарами і "дефекти конструкцій". Прикладом подібних злочинних посягань можуть бути такі дії, коли злочинець здійснює перевірку файлів у комп’ютері, аналізуючи їх. Так, злочинець, шляхом стискання та копіювання значної кількості інформації за короткий термін може скопіювати програми й файли, включаючи найважніші комерційні дані компанії, переписавши їх на дискету.
3. Правові і техніко-криміналістичні аспекти злочинів, що вчиняються в галузі комп’ютерних технологій
Міжнародне законодавство щодо комп’ютерної злочинності.
"Мінімальний список" правопорушень у цій галузі було прийнято європейським комітетом з проблем злочинності ради Європи ще у 1990 році та рекомендовано до включення в законодавства європейських країн.
1. Комп’ютерне шахрайство – введення, заміна, знищення комп’ютерних даних чи програм, або інші втручання в процес обробки інформації, які впливають на кінцевий результат, cпричиняють економічну чи майнову втрату з метою отримання незаконної економічної вигоди для себе чи іншої особи.
2. Комп’ютерний підлог – втручання в процес обробки інформації з метою вводу, зміни, виправлення, знищення комп’ютерних даних, програм чи проведення інших акцій, які згідно національного законодавства складають протиправні дії, пов’язані з підробкою (підлогом) та спрямовані на фальсифікацію відомостей чи програмного забезпечення.
3. Пошкодження комп’ютерної інформації чи програм – злочини, що пов’язані із стиранням, руйнуванням, зіпсуванням або приховуванням комп’ютерних даних чи програм суб’єктами, які не наділені такими правами.
4. Комп’ютерний саботаж – протиправні дії, що спрямовані на стирання, приведення у неробочій стан чи фальсифікацію інформації, пошкодження засобів інформаційної техніки шляхом впровадження в комп’ютерні мережі з метою перешкоди функціонуванню комп’ютерів або телекомунікаційних систем.
5. Несанкціонований доступ до комп’ютерних систем – доступ без такого права до комп’ютерних систем чи мереж з порушенням рівня таємності (hacking). Досягається це руйнуванням систем безпеки комп’ютера в обхід системи паролів.
6. Несанкціоноване перехоплення інформації – перехоплення інформації з комп’ютерних систем без дозволу компетентних органів за допомогою технічних засобів, що підключаються до комп’ютерних мереж без такого права.
7. Несанкціоноване копіювання захищених комп’ютерних програм – копіювання, розповсюдження чи передача до публікації без такого права комп’ютерних програм, котрі захищені законом. слід відмітити, що комп’ютерні злочини такого виду вчиняються найчастіше.
8. Незаконне виготовлення топографічних копій – виготовлення без відповідного дозволу топографічних копій напівпровідникової продукції, які захищені законом, чи їхнє недозволене тиражування, комерційне використання або імпорт.
У багатьох країнах щодо комп’ютерних програм застосовуються закони із захисту авторських прав (в деяких країнах – закони по захисту інтелектуальної власності). Однак, враховуючи реальне положення у сфері комп’ютерної злочинності, коли основою бізнесу є програмне забезпечення, крадіжки комп’ютерних програм досягли міжнародних пропорцій, особливу значимість набувають розробки нового законодавства на базі закону про захист авторських прав як на національному, так і на міжнародному рівнях.
Зокрема, у Великобританії діє Закон про зловживання комп’ютерною технікою від 1990 року, в Австралії - Закон про комп’ютери Національного законодавства, у Німеччині – ст. 202 а Кримінального кодексу, у Польші – ст. 270 Кримінального кодексу і т. д.
Слід відзначити, що, наприклад, у США існує більше ніж 300 законодавчих актів, що регулюють захист комп’ютерної інформації.
Щодо нашої країни, розділом XVI Кримінального кодексу України передбачається відповідальність за вчинення таких злочинів “Злочини у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж та мереж електрозв’язку, який складається з шести статей (ст. 361–363).
Загальним об’єктом злочинів, пов’язаних з використанням комп’ютерних технологій, є суспільні відносини щодо забезпечення інформаційної безпеки у сфері управління. До безпосередніх об’єктів злочинного посягання відносяться: бази та банки даних комп’ютерних систем або мереж, окремі файли, а також комп’ютерні технології та програмні засоби.
Порушення роботи АС, втручання у її роботу може бути способом скоєння інших, найчастіше більш тяжких злочинів: диверсії (ст. 113), шпигунства (ст.114), розкрадання майна шляхом вимагання чи шахрайства (ст.ст. 189, 190) та ін.
Фахівці Європолу рекомендують парламентам європейських країн при розробці чи вдосконаленні національних кримінальних та процесуальних законодавств з комп’ютерної злочинності, розглянути деякі пропозиції щодо включення їх до законів, а саме:
- законодавчо означити різницю між розшуковими системами та даними;
- розповсюдити законодавчі акти відносно комп’ютерних систем на комп’ютерні мережі;
- використовувати при розкритті та розслідуванні злочинів, пов’язаних з маніпулюванням комп’ютерними даними нормативні документи, які застосовуються при протиправних діяннях з паперовою документацією;
- законодавчо дозволити технічний контроль за дотриманням законів;
- законодавчо закріпити обов’язковість інформування компетентних осіб про комп’ютерні зловживання;
- прийняти законодавчий акт щодо безпеки зібраної доказової інформації;
- ввести правові норми, спрямовані на цілісність, таємність та захист від несанкціонованого доступу комп’ютерних мереж;
- законодавчо зобов’язати технічний персонал телекомунікаційних систем перехоплювати й передавати слідчим органам докази скоєного злочину;
- законодавчо дозволити слідчим органам відновлення функціонування зіпсованих комп’ютерних систем для збирання доказів;
- розробити юридичні основи для взаємодії правоохоронних органів різних країн при збиранні та накопиченні доказів скоєних комп’ютерних злочинів;
- використовувати національні робочі групи для координації роботи підрозділів по боротьбі з комп’ютерними злочинами;
- проводити навчання та стажування підрозділів по боротьбі з комп’ютерною злочинністю;
При розгляді законодавчих актів необхідно давати реальну оцінку сучасних технологічних умов розвитку комп’ютерної техніки для прийняття вчасних контрзаходів проти злочинців.
4. Проблеми попередження злочинів, пов’язаних з використанням комп'ютерних технологій. Захист інформації в автоматизованих системах
Під захистом інформації розуміється сукупність заходів, методів і засобів, що забезпечують вирішення таких основних завдань:
- перевірка цілісності інформації;
- виключення несанкціонованого доступу до ресурсів ПЕОМ, до програм і даних, що зберігаються в ній;
- виключення несанкціонованого використання програм, що зберігаються в ЕОМ (тобто, захист програм від копіювання).
В цілях попередження комп'ютерних злочинів існують різноманітні способи захисту інформації, основними з яких є: технічні, програмні, криптографічні та правові.
Під технічним захистом інформації розуміються різноманітні апаратні способи (екранування приміщень, де встановлені ЕОМ, yстановка генераторів шумів і т. п.). Проте, слід зазначити, що захистити інформацію від несанкціонованого доступу лише технічними засобами практичні неможливо.
Програмний спосіб захисту інформації – це спеціальні програми, що не дозволять сторонньому суб’єкту отримувати інформацію з системи. Таким видом захисту може служити, наприклад, використання системи паролів.
Під криптографічним способом захисту даних розуміється попередня їхня шифровка до введення у ЕОМ.
На практиці, як правило, використовуються комбіновані способи захисту інформації від несанкціонованого доступу.
Для боротьби з вірусами існують спеціальні антивірусні програми, що дозволяють виявити віруси й очищати від них обчислювальну систему.
Правовий захист інформації – це комплекс адміністративно-правових і кримінально-правових норм, що встановлюють відповідальність за несанкціоноване використання даних чи програмних засобів.
Для захисту комп’ютерів у мережах розроблені спеціальні засоби захисту, насамперед, захисту портів, що являють собою комп’ютери, які сторожать входи до головного комп’ютера. Вони складаються з мікропроцесора, який ідентифікує користувача та приймає рішення про доступ до системи та приладу пам’яті, що містить коди користувачів, які мають право на доступ.
Засоби захисту портів, що використовуються нині, можуть виконувати такі захисні функції: “звірка коду”, “камуфляж”, “дзвінок назустріч” і т. п.
Нині проблеми захисту комп'ютерних систем і мереж вирішують, зокрема, шляхом застосування так званих електронних ключів. Електронний ключ - це прилад з пам'яттю, виконаний на спеціалізованому чипі. Ключ має два роз’єми, одним він з’єднується з паралельним портом комп'ютера, інший слугує для підключення принтера. Ключ не має вмонтованих джерел живлення та зберігає записану у нього інформацію при відключенні від комп’ютера. Ключ забезпечує до 100 000 циклів перезапису еерrom – пам'яті й строк зберігання даних не менше 10 років. До приладів такого роду відноситься сімейство електронних ключів HASP компанії Fladdin.
Коли захищена програма запускається, вона перевіряє наявність “свого” ключа. Якщо такий ключ знайдено, програма виконується, інакше видає повідомлення про помилку та припиняє свою роботу. Користувач може вільно робити резервні копії й переносити програму з одного комп'ютера на інший, переносячи з собою ключ. У захисному механізмі реалізовані потужні антивідладочні та антитрасировочні алгоритми з шифруванням даних, реалізований захист від вірусів.
Система захисту ПЕОМ від несанкціонованого доступу “Barrier-III”, “Barrier-IV” слугує спеціалізованою надбудовою над операційною системою і доповнює її функціями розподілу доступу.
Система дозволяє створити спеціалізоване робоче місце із замкнутим програмним середовищем та обмеженим колом користувачів, що володіють різними повноваженнями щодо доступу до файлів, програм, каталогів, дисків. Система “Barrier-III” виконує такі функції:
- захист ПЕОМ від несанкціонованого завантаження ОС з жорсткого диску;
- захист від НСД інформації, що зберігається на жорстких дисках при завантаженні ОС з системної дискети;
- ідентифікація та аутентифікація користувача;
- розмежування доступу користувачів до логічних дисків;
- контроль цілісності програмного забезпечення;
- розмежування доступу користувачів до файлів даних, каталогів і програм;
- криптографічний захист інформації, що зберігається на логічних дисках (шифрування виконується відповідно до ГОСТ 28147-89).
Програмний комплекс криптографічного захисту інформації “Postcrypt”. Призначений для вирішення таких завдань криптографічного захисту інформації в комп'ютерних системах та мережах:
- ідентифікація відправника повідомлення;
- аутентифікація відправника повідомлення шляхом вироблення та перевірки електронного цифрового підпису (ЕЦП);
- аутентифікація (контроль цілісності) повідомлення;
- шифрування повідомлення. Вироблення та перевірка ЕЦП виконується відповідно до ГОСТ Р34.10.-94. Процедура кешування повідомлень виконується відповідно до ГОСТ Р34.11-94. Контроль цілісності та шифрування здійснюється відповідно до ГОСТ 28147-89. Розподіл ключів шифрування виконується за схемою Диффі-Хеллмана.
Система захисту інформації у комп’ютерній мережі “Secret Net”. Надає адміністратору можливість централізованого і комплексного управління доступом до інформації на всіх робочих станціях мережі з будь-якого робочого місця. “Secret Net” надійно захищає комп'ютерну мережу від вірусів. Підтримує різноманітні криптозасоби, сертифікована Державною технічною комісією по третьому класу захищеності.
Система телекомунікаційного обміну інформацією між банком і його клієнтами “Fast pay”. Конфіденційність в системі забезпечується:
- системою паролів, самостійно змінних кожним користувачем;
- відмінностями у правах доступу користувачів до інформації;
- застосуванням цифрового підпису з використанням алгоритмів, гарантованих ГОСТ 34.10-94;
- кодуванням і криптуванням інформації, що зберігається та передається;
- веденням журналів переданих і отриманих з банку повідомлень, а також допущених у системі критичних операцій.
Системи контролю доступу. Проблема розподілу людей на “своїх” та “чужих” здавна вирішувалася, зокрема, наділенням особи, якій дозволено доступ до певного приміщення чи обладнання якимись знаками відмінності, що виділяють її серед інших (спеціальна монета, перстень, ключ, перепустка, магнітна картка і т. ін.). Їй довірявся шифр, пароль. Проте, при такому підході не існує повної певності у відповідності носія інформації особі, що пред'явила його. Так, перепустка чи посвідчення можна підробити, пластикову картку - викрасти, пароль - підслухати.
Новим напрямом в організації систем розмежування доступу є системи, що базуються на біометричних методах, за допомогою яких можна по відбиткам пальців рук, малюнку радужної оболонки ока, за формою руки, голосу, підпису ідентифікувати особу.
У приладі “Handkey”, розробленому компанією “Avan”, як вхідний параметр використовується трьохмірне зображення руки в інфрачервоному діапазоні. Для ідентифікації використовуються параметри відсканованої руки, тобто рука людини є її унікальним “посвідченням” (прилад “Handkey” розсекречено урядом США у 1991 році).
Прилад захисту типу “Базальт”, “Базальт-3 ОТЛ” – слугує для захисту об’єктів від витоку мовної інформації крізь двохпровідні лінії телефонного зв'язку.
“Базальт-1 ОP” призначено для захисту від витоку мовної інформації по каналах акустоелектричного перетворення крізь двохпровідні лінії пожежного сповіщення, радіотрансляції, систем гучномовного директорського і диспетчерського зв'язку, переговорних приладів і т. п.
“Базальт-2 ГС” – для захисту об’єктів від витоку мовної інформації по електромережі.
Термінал захисту комунікацій фірми “Harris” застосовується для захисту телефонних розмов, факсових повідомлень та інформації, що передається електронною поштою.
Інтегральна цифрова комунікаційна система “Меридиан-1” (австрійська фірма “Kapsch”) має всі функції захисту її програмних та апаратних засобів, за ступенем захисту відповідає міжнародним стандартам ISO/IEC 7498-2 та рекомендаціям МККТТ Х.800, 58Р., що встановлюють вимоги до безпеки інформації у середовищі взаємодії відкритих систем. Використовується: Адміністрацією Президента України, Верховною Радою України, міністерством Фінансів, міністерством транспорту України.
Автономний прилад захисту даних “Opex-V” призначений для захисту даних при їх передачі комутованими телефонними каналами зв'язку за допомогою комп'ютера та модему під управлінням комунікаційних пакетів.
5. Особливості методики виявлення та розслідування злочинів, що вчиняються в галузі інформаційних технологій
В результаті розвитку технічних і програмних засобів, що забезпечують доступ до машинних ресурсів будь-якому користувачу, персональні комп'ютери сьогодні використовуються практично в усіх сферах людської діяльності, отже, можуть використовуватися і особами, що порушують закон. При цьому в комп’ютері можуть залишатися сліди злочинної діяльності.
Враховуючи новизну комп’ютерних засобів обробки інформації, судової та слідчої практики, достатньої для узагальнення, поки ще немає. Однак вже сьогодні слідча й експертна практика потребує розробки методики розслідування подібних злочинів.
Вирішення проблем розкриття та розслідування комп’ютерних злочинів являє собою завдання на декілька порядків більш складне, ніж їх попередження. Брак у практичних працівників знань у галузі інформатики значною мірою сприяє збереженню високого рівня латентності протиправних дій у цій сфері.
За кордоном підготовці фахівців у галузі комп’ютерних злочинів приділяється підвищена увага. Так, у навчальних закладах системи МВС Німеччини до курсу “Економічні злочини” запроваджено спеціальний розділ з питань розкриття та розслідування комп'ютерних злочинів, в Академії ФБР США (м. Квонтико, штат Вірджинія) вже з 1976 р. читається спеціальний трьохтижневий курс з теми “Техніка розслідування злочинів, пов'язаних з використанням комп'ютерів”. В Росії також займаються підготовкою фахівців з комп’ютерній злочинності. Так, в інституті МВС Росії готують фахівців із застосування інформаційних технологій у боротьбі з організованою злочинністю. Слухачі, зокрема, знайомляться з питаннями утворення провокацій “тривожної” ситуації у злочинних структурах, що розробляються.
Розслідування комп’ютерних злочинів характеризується рядом особливостей, що відносяться як до суб’єкта та об’єкта злочину, так і до його об’єктивної та суб’єктивної сторін. Деякі з них, зокрема, питання про суб’єкт і об’єкт цього виду злочинів, про способи злочинного посягання вже розглядалися раніше. Проте цим далеко не обмежується специфіка виявлення та розслідування такого виду злочинів.
В усіх випадках комп’ютери та програмне забезпечення можуть бути об’єктами, що підлягають огляду, пізнанню, експертному дослідженню і т. п.
Має свою специфіку й зберігання вилучених речових доказів. Крім того, необхідна розробка методики, що дозволить проводити експертне криміналістичне дослідження засобів та матеріалів комп’ютерної техніки.
Об’єкти огляду та обшуку
Розробка всієї специфіки інструментарію слідчого по дослідженню означених об’єктів в умовах досудового слідства може бути предметом самостійного дослідження, тому зупинимося лише на особливостях окремих традиційних слідчих дій.
Відомо, що процесуальними засобами вилучення речових доказів є обшук та виїмка. Носії інформації, що мають відношення до події, яка розслідується, можуть бути з дотриманням встановленого КПК порядку вилучені й залучені до кримінальної справи як речовий доказ. На носії інформації як на предмети матеріального світу правомірно поширювати режим речових доказів, бо ніяких суттєвих відмінностей від вже відомих кримінальному процесу об’єктів носії інформації не мають.
Для участі в огляді місця події, обшуку чи виїмці у справах, пов’язаних з комп’ютерною технікою, доцільно запрошувати спеціаліста у галузі інформатики. Об’єктами огляду можуть бути засоби обчислювальної техніки (системний блок, дисплей, клавiатура, принтер, дисководи, маніпулятори, стример, сканер, плоттер, телефонний- і факс-модеми і т. п.), а також матеріали та допоміжне обладнання (магнітні та СD-ROM диски, стримерні стрічки, принтерні розпечатки і картриджі, роз’єми та з’єднувальні кабелі і т. п.).
Місця знаходження інформації, що вилучається.
Слід відзначити, що в персональному комп'ютері інформація, що може являти інтерес для слідчого, оперативного працівника чи експерта-криміналіста, знаходиться: в оперативній або у зовнішній пам’яті – на жорстких магнітних дисках (вінчестерах), дискетах, оптичних дисках, магнітних стрічках (стримерах) чи на віртуальному диску (псевдодиску). Причому, якщо комп’ютер вимкнутий, така інформація може знаходитися лише на зовнішніх носіях.
Відомо, що в оперативній пам’яті комп’ютера інформація зберігається до вимикання комп'ютера. При увімкненні ПК ОЗП очищується для введення нових програм або даних. Воно поділене на спеціальні області, серед яких може бути виділена область, що імітує зовнішній пристрій - накопичувач інформації. Цей накопичувач (віртуальний диск чи псевдодиск) відрізняється високою швидкістю доступу до інформації та дозволяє виконувати специфічні операції по обміну програмами і даними з приладами ПК.
Таким чином, дії щодо вилучення комп'ютерної інформації мають свою специфіку залежно від того, включений чи вимкнутий комп'ютер у момент проведення слідчої дії.
При обшуку на робочому місці злочинця слідчому необхідно дотримуватися таких правил:
- ізолювати підозрюваного від ЕОМ, інших приладів та електромережі, тобто, не дозволити натискати клавіші комп’ютера, вимикати його з електромережі, бо це може призвести до знищення доказів;
- скласти схематичний план приміщення із зазначенням розміщення апаратури й місця її підключення до електромережі;
- зібрати та описати дискети, магнітні стрічки, інші носії інформації, мікросхеми, а також документи, що можуть відноситись до справи (листи, факси, кодові шифри, інструкції і т. п.);
- дати завдання спеціалісту скопіювати на чисті дискети чи інші носії інформації вміст оперативної пам’яті ЕОМ, вінчестерів, дискет;
- опечатати кожний блок апаратури;
- приділити особливу увагу збереженню знайдених комп'ютерних доказів (програмні засоби, оптичні чи магнітні носії інформації і т. д.);
- всі знайдені речові докази повинні бути промарковані, сфотографовані та занесені до протоколу;
- зробити робочі копії з носіїв інформації та зберігати їх при температурі 15-20 град та вологості 50-70%.
У випадку, якщо комп'ютер вимкнутий, слід:
а) упакувати окремо (із зазначенням у протоколі та на конверті місця знайдення) носії на магнітних чи оптичних дисках (магнітній стрічці, cтримерній касеті і т. п.). При цьому магнітні носії інформації бажано упаковувати в металеві коробки або загортати у металеву фольгу з метою запобігання їхнього випадкового чи навмисного розмагнічування;
б) відобразити у протоколі та на схемі, що додається до нього, місцезнаходження комп'ютера і його периферійних пристроїв (принтер, дисководи, дисплей, клавiатура, cканер, маніпулятори і т. ін.);
в) описати порядок з'єднання між собою приладів із зазначенням особливостей (колір, кількість з’єднувальних роз’ємів, їх специфікація) з’єднувальних проводів та кабелів;
г) із дотриманням застережних заходів роз’єднати пристрої комп'ютера, заздалегідь знеструмивши його;
д) ретельно упакувати кожний пристрій та з’єднувальні кабелі, проводи з метою їхнього транспортування.
Особливої обережності вимагає транспортування вінчестеру.
Якщо комп'ютер включений, ситуація для слідчого, що проводить слідчу дію без допомоги спеціаліста, суттєво ускладнюється, проте і у цьому випадку не слід відмовлятися від оперативного вилучення необхідних даних. У цьому випадку слід:
a) визначити, яка програма виконується. Для цього необхідно вивчити зображення на екрані дисплея та, по можливості, детально описати його. Після зупинки програми можна відновити найменування програми, що викликалася останньою. Деякі програми – оболонки дозволяють продивитись найменування програм, що викликалися;
б) зупинити виконання програми. Це може бути здійснено шляхом натискання клавіші ESC, введенням команд Exit або Quit. Зупинити виконання програми можна також натисканням клавіш Ctr+C або Ctr+Q;
в) відбити у протоколі результат виконання програми і натискання означених клавіш;
г) визначити наявність у комп’ютера зовнішніх пристроїв – накопичувачів на жорстких магнітних дисках (вінчестера) та віртуального диску;
д) скопіювати програми і файли даних з віртуального диска на магнітний носій;
е) вимкнути комп'ютер і далі діяти за схемою “комп'ютер не працює”.
Огляд комп'ютера і вилучення інформації, що зберігається на носіях, здійснюється за місцем проведення розслідування із запрошенням спеціаліста. Огляд виробляється в присутності понятих, що розписуються на розпечатках інформації, що виготовлені в ході огляду.
При проведенні означених слідчих дій слідчому бажано мати з собою набір сервісних програм-утиліт, що забезпечують:
a) визначення технічних характеристик комп’ютера;
б) тестування окремих пристроїв ЕОМ;
в) роботу з файлами;
г) пошук й відновлення прихованої чи усуненої інформації.
Встановлення факту протизаконного проникнення до автоматизованої системи.
Одною з головних проблем при розслідуванні злочинів, що скоєні з використанням комп'ютерних технологій, є встановлення самого факту протизаконного проникнення до автоматизованої системи. При цьому можна виділити такі основні обставини, що підлягають обов'язковому встановленню і доказуванню у справах цієї категорії:
1) чи мав місце злочин (або це правопорушення іншого роду);
2) які об'єкт і предмет злочинного посягання;
3) який спосіб скоєння злочину;
4) місце, час і обставини скоєння злочину;
5) розмір та вид збитків;
6) хто вчинив злочин;
7) якщо злочин вчинений групою осіб, то які склад групи і роль кожного співучасника;
8) обставини, що сприяли скоєнню злочину.
Першими факт скоєння злочину, як правило, виявляють користувачі автоматизованої системи - жертви. Факти протизаконного проникнення до автоматизованої системи інколи встановлюються в результаті оперативно-розшукових заходів, які можуть проводитись органами внутрішніх справ, СБУ, податковою міліцією тощо. Встановлюються такі факти також в ході здійснення прокурорських перевірок, ревізій і т. ін.
Ознаками протизаконного проникнення до автоматизованої системи або підготовки до нього можуть бути, зокрема, такі обставини:
- поява у комп’ютері фальшивих даних;
- непоновлення тривалий час в автоматизованій системі кодів, паролів та інших засобів захисту;
- часті збої у роботі автоматизованої системи, прояви вірусного характеру;
- часті скарги користувачів автоматизованої системи чи комп’ютерної мережі на низьку якість її роботи;
- здійснення надурочних робіт без поважних причин;
- немотивовані відмови деяких співробітників, що обслуговують комп’ютерні системи чи мережі, від чергових відпусток;
- раптове придбання співробітником особистого дорогого комп’ютера;
- чисті носії, принесені на роботу співробітниками комп’ютерної системи за сумнівними підставами;
- часті випадки перезапису окремих даних без поважних на те підстав;
- надмірна зацікавленість окремих співробітників щодо вмісту чужих роздруківок (листингів) чи сміттєвих ємностей;
- розкрадання носіїв інформації;
- здійснення необґрунтованих маніпуляцій з цінними даними (наприклад, часте переведення грошових коштів з одного рахунку на інший, наявність у однієї особи декількох рахунків і т. ін.;
- необґрунтована втрата значного масиву даних;
- показання засобів захисту комп'ютерної техніки;
- необґрунтоване знаходження у приміщеннях організації сторонніх осіб: електрик, сантехнік, зв'язківець і т. ін.);
- порушення правил ведення журналів робочого часу ЕОМ: виправлення, підчистки у них;
- невдоволення деякими співробітниками з приводу здійснення контролю за їхньою діяльністю і т. п.
Окремо слід виділити ознаки неправомірного доступу, який стосується відхилення від встановленого порядку роботи з документами, а саме:
- порушення встановлених правил оформлення документів;
- повторне введення однієї й тієї ж інформації до комп’ютера;
- наявність зайвих документів серед тих, що підготовлені для обробки на комп’ютері;
- відсутність документів, що стали підставою для запису повторної документації;
- навмисна втрата, знищення первинних документів та носіїв інформації, внесення викривлень у дані при їх реєстрації.
Для фактів протизаконного проникнення у автоматизовану систему характерні також ознаки, що стосуються внесення неправдивих відомостей до документів:
а) протиріччя між реквізитами того чи іншого бухгалтерського документу;
б) невідповідність даних, що містяться у первинних документах, комп’ютерним даним;
в) протиріччя між однойменними бухгалтерськими документами, що виготовлені у різні часи;
г) невідповідність облікових даних взаємозв’язаних показників у різних машинних документах;
д) невідповідність між даними бухгалтерського та інших видів обліків.
Слід зазначити, що вказані ознаки можуть бути наслідком не лише зловживання, але й інших причин, зокрема, випадкових помилок чи збоїв автоматизованої системи.
При встановленні місця протизаконного проникнення до автоматизованої системи можуть виникнути певні труднощі. Це пов’язано з тим, що таких місць при використанні комп’ютерної мережі може бути декілька.
В першу чергу, слід виявити місця, де розміщені комп’ютери, що мають єдиний телекомунікаційний зв’язок. Досить просто це завдання вирішується у випадку протизаконного проникнення до окремих комп’ютерів, що знаходяться в одному приміщенні.
Значно складніше визначити місце безпосереднього застосування технічних засобів віддаленого несанкціонованого доступу (з комп’ютера, який не входить до складу цієї автоматизованої системи чи мережі). В цьому випадку треба залучати фахівців. Встановити потрібно також місце зберігання інформації (на магнітних носіях, у вигляді розпечаток тощо).
Для встановлення часу протизаконного проникнення до автоматизованої системиможна скористатися програмами загальносистемного призначення, що дозволяють за допомогою відповідної команди вивести на екран дисплею інформацію про дату і час виконання тієї чи іншої операції. Якщо ці дані введені, то при вході до системи чи мережі (у тому числі й протизаконному), час роботи, а також виконання користувачем конкретних операцій автоматично фіксуються та відбиваються, як правило, у вихідних даних (на дисплеї, у листінгу або на дискеті).
Враховуючи викладене, час протизаконного проникнення до автоматизованої системи можна встановити шляхом слідчого огляду комп’ютера, розпечаток чи дискет. Цю слідчу дію доцільно виконувати із залученням фахівця, чиї спеціальні знання тут вкрай необхідні, бо у його відсутності інформація, що знаходиться в оперативній пам’яті або на дискеті, може бути випадково знищена. Крім того, час протизаконного проникнення до комп’ютерної інформації можна встановити шляхом допиту свідків з числа співробітників цієї автоматизованої інформаційної системи. При цьому треба з’ясувати, коли кожен з них працював на комп’ютері (якщо це не було зафіксовано системою автоматично).
Встановлення способу несанкціонованого доступу до автоматизованої системи
Для скоєння злочину, що розглядається, застосовуються різноманітні способи, у тому числі: використання чужого ім’я, підбирання паролю, знаходження й використання прогалин у програмі та інші способи подолання захисту комп’ютерної інформації.
Конкретний спосіб несанкціонованого доступу до інформації можна встановити в процесі допиту свідків з числа осіб, що обслуговують цю систему або її розробників. У них необхідно з’ясувати, як злочинець міг подолати засоби захисту цієї системи, зокрема, дізнатися про ідентифікаційний номер законного користувача, код, пароль для доступу, дістати відомості про інші засоби захисту.
Спосіб несанкціонованого доступу може бути встановлений також шляхом проведення судової експертизи. Експерту в цьому випадку слід поставити, зокрема, таке запитання: “За який спосіб було вчинено протизаконне проникнення до автоматизованої системи?”. При проведенні такої експертизи рекомендується використовувати комп’ютерне обладнання та програмні засоби тієї ж системи, до якої проникнув злочинець.
Може також бути проведено відтворення обстановки та обставин події з метою перевірки можливості подолання засобів захисту комп’ютерної системи одним із передбачуваних способів.
Встановлення надійності засобів захисту комп’ютерної інформації
Передусім необхідно встановити, чи передбачені взагалі у цій комп’ютерній системі заходи щодо захисту від протизаконного проникнення до автоматизованої системи. Це можна з’ясувати шляхом допитів її розробників та користувачів, а також вивченням технічної документації, відповідних інструкцій з експлуатації. При ознайомленні з інструкціями особливу увагу треба приділяти розділам щодо заходів захисту інформації, порядку допуску користувачів до певних даних, розподілу їхніх повноважень, організації контролю за доступом, конкретних засобах та методах захисту інформації (апаратних, програмних, криптографічних, організаційних тощо).
Треба враховувати, що з метою забезпечення відповідного ступеню надійності автоматизованих інформаційних систем, в яких обробляється інформація з обмеженим доступом, законодавством передбачені обов’язкова сертифікація та ліцензування засобів захисту комп’ютерної інформації.
В процесі розслідування треба встановити, по-перше, чи є ліцензія на провадження засобів захисту інформації, й, по-друге, чи відповідають їхні параметри виданому сертифікату. Для цього може бути призначена судова експертиза з метою вирішення такого питання: “Чи відповідають засоби захисту від несанкціонованого доступу, що використовуються в системі, виданому сертифікату?”. Якщо експерт встановлює цей факт, то провина за виявлені відхилення, що стали причиною протизаконного проникнення до цієї автоматизованої системи, покладається на користувача системи, а не на розробника засобів захисту.
Встановлення осіб, що скоїли несанкціонований доступ до автоматизованої системи
Здійснити несанкціонований доступ до закритої автоматизованої системи чи мережі є технологічно досить складною справою. Це можуть зробити лише висококваліфіковані фахівці. Тому шукати особу, що скоїла злочин, слід, в пер-шу чергу, серед технічного персоналу (розробників систем, керівників, операторів, програмістів, інженерів, фахівців по захисту інформації і т. п.). Зокрема, практика свідчить, що чим складніший у технічному відношенні спосіб проникнення до комп’ютерної системи, тим легше виділити підозрюваного, оскільки коло фахівців, які володіють відповідними здібностями, як правило, досить обмежене.
Встановити причетність конкретної особи до протизаконного проникнення до автоматизованої системи можна за матеріально-фіксованими відображеннями, що виявляються шляхом проведення слідчого огляду комп’ютера і його периферійних пристроїв. При цьому можуть бути виявлені відбитки пальців рук, відповідні записи і т. п. Для подальшого їх дослідження призначаються традиційні криміналістичні експертизи – дактилоскопічна, почеркознавча, техніко-криміналістична.
Для виявлення осіб, відповідальних за дотримання режиму доступу до закритої автоматизованої системи, слід ознайомитися з інструкціями, що встановлюють повноваження посадових осіб, відповідальних за захист інформації, і допитати їх.
Шляхом проведення допитів осіб, які обслуговують автоматизовану систему, можна встановити, хто запускав несанкціоновану програму, чи було це зафіксовано засобами захисту. Слід також з’ясувати, хто з них серйозно займається програмуванням (або навчався на відповідних курсах).
У підозрюваних у протизаконному проникненні до закритої автоматизованої системи, за наявності достатніх підстав робиться обшук, в процесі якого можуть бути виявлені: комп’ютери, засоби телекомунікаційного зв’язку, принтери, записники з відповідними записами, які можуть служити доказами у справі, диски, флеш-пам’ять, що містять відомості, які можуть мати значення у справі. Це, зокрема, коди, паролі, ідентифікаційні номери та інші дані про користувачів системи.
У ході обшуку слід звертати увагу на літературу щодо комп’ютерної техніки та програмування. Для проведення обшуку та подальшого огляду вилученого об’єкта доцільно залучати спеціаліста, який може, наприклад, прочитати інформацію, що міститься на машинних носіях або у пам’яті вилученого комп’ютера.
Встановити особу, яка скоїла несанкціонований доступ до автоматизованої системи можна також шляхом проведення криміналістичної експертизи з метою ідентифікації особи – оператора комп’ютера за його клавіатурним “почерком”
Встановлення ступеню провини, мотивів та шкідливих наслідків несанкціонованого доступу до автоматизованої системи
Встановити провину та мотиви несанкціонованого доступудо автоматизованої системи можна лише за сукупністю результатів усіх процесуальних та слідчих дій. Вирішальними серед них є показання свідків, підозрюваних, обвинувачених, потерпілих, результати обшуку, а також висновки судових експертиз.
По-перше, з’ясовується ціль вчинення несанкціонованого доступудо автоматизованої системи; по-друге, чи знав правопорушник про систему її захисту; по-третє, чи бажав здолати цю систему й, нарешті, якщо бажав, то за якими мотивами та які дії для цього вчинив.
При встановленні шкідливих наслідківнесанкціонованого доступудо автоматизованої системи насамперед, необхідно встановити, у чому вони полягають (розкрадання грошових коштів або матеріальних цінностей, заволодіння комп’ютерними програмами, даними шляхом вилучення машинних носіїв або копіювання, а також незаконна зміна, знищення, блокування інформації чи виведення з ладу комп’ютерного обладнання, впровадження до автоматизованої системи завідомо неправдивої інформації або комп’ютерних вірусів тощо).
Розкрадання грошових коштів частіше вчиняється у банківських електронних системах шляхом несанкціонованого доступу до їх інформаційних ресурсів, внесення до них змін і доповнень. За свідченнями компетентних осіб Національного банку України, як правило, такі правопорушення виявляються працівниками служб захисту інформації цих банків. Правопорушення встановлюються також в результаті проведення оперативно-розшукових заходів. Сума розкрадання може бути встановлена шляхом провадження судово-бухгалтерської експертизи. Факти неправомірного заволодіння комп’ютерними програмами та їх незаконного використання виявляються, найчастіше, самими потерпілими.
Слід зазначити, що значної шкоди наносить незаконне отримання інформації з автоматизованих інформаційних систем, її копіювання, розповсюдження з метою продажу та отримання матеріальної вигоди або з іншими злочинними цілями (зокрема, для збирання компроматів на кандидатів у депутати). Викрадені програми та бази даних можуть бути виявлені при проведенні обшуків у обвинувачених, а також при проведенні оперативно-розшукових заходів.
Факти незаконної зміни, знищення, блокування інформації, виведення з ладу комп’ютерного обладнання, введення до комп’ютерної системи завідомо неправдивої інформації встановлюються, передусім, самими користувачами. Але слід враховувати, що не всі ці наслідки наступають в результаті навмисних дій. Інколи причиною стає випадковий збій у роботі комп’ютерного обладнання.
Негативні наслідки несанкціонованого доступудо автоматизованої системи можуть встановлюватися у процесі слідчого огляду комп’ютерного обладнання та носіїв інформації (аналізу баз і банків даних), допитів технічного персоналу, власників інформаційних ресурсів. Вид та обсяг збитків встановлюються шляхом проведення комплексної експертизи із застосуванням спеціальних пізнань у галузях інформатики, засобів обчислювальної техніки та зв’язку, економіки, фінансової діяльності й товарознавства.
Виявлення обставин, які сприяли несанкціонованому доступу до автоматизованої системи.
Питання щодо обставин, які сприяли скоєнню злочину, вирішуються шляхом проведення судової експертизи засобів комп’ютерної техніки та носіїв інформації. Відповідні обставини можуть встановлюватися і шляхом проведення допитів, очних ставок, відтворення обстановки та обставин події, оглядів документів тощо. Ці обставини складаються, головним чином, із таких аспектів:
- недостатня ефективність засобів захисту автоматизованої системи від несанкціонованого доступу (це у значній мірі відноситься до комп’ютерних мереж);
- суміщення функцій розробки й експлуатації програмного забезпечення в рамках одного структурного підрозділу. Розробники комп’ютерної програми, які самі її експлуатують, мають можливість вносити до неї зміни, здійснювати доступ до будь-якої інформації, у тому числі закритої;
- невжиття у технологічному процесі всіх наявних засобів та процедур реєстрації й протоколювання дій програм і користувачів;
- порушення термінів зміни паролів користувачів;
- відсутність чи порушення строків зберігання копій програм і комп’ютерної інформації.
Особливості розслідування обставин створення, використання та розповсюдження шкідливих комп’ютерних програм і технічних засобів.
Розповсюдження програмних і технічних засобів, призначених для несанкціонованого доступу до автоматизовані системи і здатних спричинити перекручення або знищення інформації чи носіїв інформації, відноситься до формальних складів злочинів, оскільки об’єктивна сторона цього злочину виражається в самих діях, незалежно від того, спричинили вони чи ні наслідки у вигляді перекручення чи знищення інформації або носіїв інформації.
Під розповсюдженням програмних і технічних засобів, призначених для незаконного проникнення в АС і здатних спричинити перекручення або знищення інформації чи носіїв інформації розуміється:
1) їх передача будь-яким способом і на будь-яких підставах (продаж, дарування, обмін, надання можливості скопіювати тощо) з метою їхнього використання для несанкціонованого доступу до інформації особами, які згідно з правилами розмежування доступу до інформації, встановленими власником інформації чи уповноваженою ним особою, не мають права доступу до такої інформації;
2) їх “закладку” в АС на стадії її виготовлення, ремонту, реалізації, експлуатації з метою використання в майбутньому для здійснення несанкціонованого доступу до інформації;
3) ознайомлення інших осіб із змістом програмних засобів чи технічними характеристиками або технологією виготовлення та використання технічних засобів для незаконного проникнення в АС.
Програмні засоби, призначені для незаконного проникнення в АС - це спеціальні комп’ютерні програми, за допомогою яких можна здійснити несанкціонований доступ до інформації, яка зберігається чи обробляється в АС, і які здатні спотворити або знищити інформацію (її носії) шляхом спотворення процесу обробки інформації.
Технічні засоби, призначені для незаконного проникнення в АС – це різного роду прилади, обладнання, устаткування тощо, за допомогою яких можливе або безпосереднє підключення до АС чи каналів передачі даних, або які здатні шляхом формування сигналів, полів, середовищ створити умови для несанкціонованого доступу до інформації з метою ознайомлення з нею особами, які не мають права доступу до неї, або з метою впливу на процес обробки інформації в АС, порушення роботи АС, перекручення або знищення інформації чи її носіїв.
Обов’язковою ознакою програмних і технічних засобів, призначених для незаконного проникнення в АС, для визнання їх предметом коментованого злочину, є їх здатність впливати на процес обробки інформації, його спотворення, в результаті чого інформація може бути знищена чи перекручена.
До шкідливих комп’ютерних програм прийнято відносити, передусім, комп’ютерні віруси – програми, що здатні впроваджуватися у інші програми, розмножуватися й при певних умовах пошкоджувати комп’ютерні системи, дані й програми, що зберігаються в них.
Існують також інші шкідливі програми, що використовуються, як правило, з метою розкрадання грошових коштів у комп’ютерних банківських системах чи скоєння інших зловживань у цій сфері.
В процесі розслідування особливо важко виявити осіб, що створили шкідливі програми. Це завдання розв’язується шляхом виконання певних заходів у такій послідовності:
- встановлюється факт і спосіб створення шкідливої комп’ютерної програми, факт її використання та розповсюдження, а також особи, що її створили, використовували та розповсюджували;
- встановлюється шкода, що завдана цим злочином;
- встановлюються обставини, які сприяли скоєнню злочину, що розслідується.
Щодо встановлення факту і способу створення шкідливої комп’ютерної програми, то це, як правило, виявляється тоді, коли вже явно проявляються наслідки застосування такої програми. Вона також може бути виявленою в процесі антивірусної перевірки.
Розробка шкідливих комп’ютерних програм здійснюється, як правило, шляхом її створення безпосередньо на одному з робочих місць автоматизованої системи та маскується під правомірну повсякденну роботу розробника, який за своїми посадовими обов’язками має доступ до автоматизованої системи та інформації, що функціонує в ній, а інколи володіє кодами чи паролями. Приховування злочинних дій розробник здійснює шляхом вилучення компрометуючих даних, або їх схову на власних дискетах.
Крім того, створення таких програм провадиться поза сферою безпосереднього функціонування автоматизованої системи, для впливу на яку вона призначена. Тому злочинцю необхідні відомості про систему, про способи доступу до неї, про засоби її захисту. Для їх отримання він встановлює зв’язки з користувачами системи або впроваджує до неї довірену особу, частіше програміста.
На факт створення шкідливої програми побічно можуть вказувати, зокрема, такі обставини:
а) підвищена зацікавленість особами, до кола обов’язків яких це не входить, алгоритмами програм, роботою системи захисту інформації, вхідною та вихідною інформацією;
б) несподіване захоплення осіб, до кола функціональних обов’язків яких це не входить, програмуванням. Ці обставини встановлюються шляхом здійснення оперативно-розшукових заходів, а також проведення окремих слідчих дій, зокрема, допиту свідків, у яких виявлені ознаки використання шкідливої програми.
Встановлення факту використання і розповсюдження шкідливої програми.
Як правило, користувачі АС виявляють шкідливі програми за допомогою спеціальних антивірусних програм. В процесі розслідування злочину факт використання шкідливої програми можна встановити шляхом огляду облікових журналів, ліцензійних угод і договорів, книг паролів, наказів та інших документів, що регламентують роботу установи й, зокрема, використання комп’ютерної інформації.
Документи можуть бути представлені також в електронній формі, зокрема, на машинних носіях. При вивченні таких документів слідчий (за допомогою спеціаліста) може отримати інформацію про законність використання тієї чи іншої програми, систему організації роботи установи та використання і доступу до інформації та обчислювальної техніки, про осіб, що мали доступ до автоматизованої системи.
Шляхом допиту підозрюваного встановлюється рівень його професійної підготовки, досвід роботи щодо створення програм конкретного класу, знання алгоритмів програм, що підлягалися неправомірному впливу.
При допиті обвинуваченого необхідно з’ясувати обставини підготовки та скоєння злочину, алгоритм функціонування шкідливої програми, а також дані про те, на яку інформацію та яким чином вона впливає.
Шляхом допиту свідків з числа представників потерпілої сторони слід з’ясувати, чи розроблялася програма чи дані із врахуванням можливості подальшого неправомірного на них впливу. Крім того, необхідно з’ясувати способи розповсюдження шкідливих програм, тобто надання доступу до них шляхом продажу, прокату, здачі в найми, надання у позику, включаючи імпорт.
Сьогодні застосовується безліч способів використання і розповсюдження шкідливих програм. Зокрема, це здійснюється у випадках запуску програми з іншого комп’ютера чи з компакт-диску, що куплені, позичені, отримані в порядку обміну каналами мережі “INTERNET”.
Розповсюдження шкідливої програми може здійснюватися комп’ютерною мережею в результаті використання неліцензійної та несертифікованої програми або купленої чи скопійованої у випадкової особи.
У встановленні фактів використання й розповсюдження шкідливих програм значну роль може відіграти судова експертиза, шляхом проведення якої можна визначити, зокрема, зміни, що внесені до програми, час та характер змін, а також наслідки, які можуть наступити в результаті використання та розповсюдження шкідливих програм. Крім того, експертиза допоможе встановити спосіб подолання програмного й апаратного захисту, що застосовувався злочинцем. Це може бути підбір ключів і паролів, відключення засобів захисту, використання спеціальних програмних засобів для здійснення несанкціонованого доступу до автоматизованої системи.
Встановлення осіб, винних у створенні, використанні та розповсюдженні шкідливих програм для ЕОМ.
Необхідно враховувати, що шкідливу комп’ютерну програму може створити не будь-яка особа, а лише та, що добре володіє навичками спілкування з комп’ютером, а також, головне, вмінням написання програм на відповідній алгоритмічній мові (найчастіше – на Асемблері). Створити таку програму можуть досвідчені програмісти, але вони, як правило, не беруть участі у її розповсюдженні.
Щодо використання і розповсюдження шкідливих програм, то це може здійснювати будь-яка особа, що має навички роботи на персональному комп’ютері. Проте, найбільшу небезпеку являють висококваліфіковані фахівці в галузі комп’ютерних технологій, досвідчені комп’ютерні зломщики, яких у літературі називають "хакери". Злочини цієї категорії інколи скоюються групою осіб, причому один хакер створює шкідливі програми, а інші члени групи забезпечують його діяльність (у організаційному, матеріально-технічному, інформаційному плані тощо). Так, у світовій практиці відомі випадки здійснення хакерами зв’язків з організованою злочинністю, коли злочинні угруповання виступають в ролі замовників комп’ютерних махінацій, забезпечують хакерів необхідною технікою, здійснюють прикриття, знімають через підставних осіб гроші у банківських комп’ютерних системах і т. ін.
Пошук особи, причетної до використання шкідливих програм, вимагає значних зусиль. У сприятливих випадках встановити її можна за слідами рук, що виявлені на дискетах, клавішах та інших частинах комп’ютера. Після встановлення підозрюваного його треба затримати негайно, щоб не допустити знищення матеріалів, що його компрометують.
У випадку, коли шкідливою програмою є комп’ютерний вірус, від швидкості затримання залежать масштаби його можливого розповсюдження та заподіяння збитків. Тому при допиті підозрюваного необхідно з’ясувати: місце його мешкання, роботи чи навчання, професію, стосунки із співробітниками, сімейний стан, спосіб життя, сферу інтересів, звички, схильності, коло знайомих, навички у програмуванні, ремонті та експлуатації засобів комп’ютерної техніки, якими засобами обчислювальної техніки, апаратурою й пристроями він володіє.
Органу дізнання доцільно доручити виявлення і перевірку осіб, які раніше притягались до відповідальності за подібні злочини. Для встановлення можливості створення шкідливої програми певною особою проводиться така слідча дія, як відтворення обстановки та обставин події.
Слід відмітити, що останнім часом з’явилась група, що включає осіб, які страждають від нового виду психічних захворювань – інформаційними хворобами (комп’ютерними фобіями). Тому при наявності подібних фактів в процесі розслідування такого виду злочину особою, яка проводить дізнання чи розслідування, необхідно призначення судово-психіатричної експертизи на предмет встановлення осудності злочинця в момент скоєння ним злочинних дій.
Встановлення шкоди, завданої злочином.
Вирішуючи це завдання, слід враховувати, що шкідлива, наприклад, вірусна комп’ютерна програма, може миттєво розмножитися у великій кількості примірників та у короткий термін заразити багато інших комп’ютерних систем. Зокрема, комп’ютерні віруси можуть:
- повністю заповнити диск або всю вільну оперативну пам’ять комп’ютера своїми копіями;
- поміняти місцями файли, змішати так, що знайти їх на диску буде практично неможливо;
- зіпсувати таблицю розміщення файлів;
- відформатувати вінчестерський диск або інший носій, знищивши при цьому всю раніш записану інформацію;
- вивести на дисплей те чи інше небажане повідомлення;
- перевантажити чи уповільнити роботу комп’ютера;
- змінити вміст програм і файлів, що може призвести до помилок у складних розрахунках;
- відкрити інформацію з обмеженим доступом.
Розмір збитку, завданого злочином такого виду, встановлюється шляхом призначення судово-бухгалтерської та судово-економічної експертиз у комплексі з криміналістичною експертизою засобів комп’ютерної техніки та носіїв інформації.
Встановлення обставин, що сприяли скоєнню злочину.
Слід зазначити, що повну безпеку комп’ютерних систем забезпечити практично неможливо, але знизити небезпеку шкідливих комп’ютерних програм до певного рівня можна, зокрема, шляхом виконання певних правил, до яких, зокрема, відносяться:
- використання ефективних антивірусних засобів;
- відмова від використання випадкового несертифікованого програмного забезпечення;
- відмова від використання нелегальних копій комп’ютерних програм;
- виготовлення резервних копій програм та системних файлів;
- ведення обліку і контролю за доступом до комп’ютерних систем;
- відмова від використання комп’ютерів не за призначенням (для комп’ютерних ігор, навчання сторонніх, написання програм особами, до функціональних обов’язків яких це не входить);
- перевірки кожної придбаної програми з метою можливого відкриття ознак її зараження комп’ютерним вірусом;
- захист завантажувальних дискет від запису;
- регулярне реєстрування програм, що встановлюються в комп’ютерну систему.
Невиконання наведених правил і є тими обставинами, що сприяли скоєнню злочину. Вони встановлюються шляхом проведення судової експертизи, на вирішення якої можна поставити, зокрема, таке запитання: “Що сприяло скоєнню злочину, пов’язаного із створенням, використанням та розповсюдженням шкідливих комп’ютерних програм?”.
Особливості розслідування порушення правил експлуатації ЕОМ.
Значних збитків автоматизованій інформаційній системі можуть завдати порушення правил їхньої експлуатації, що, як правило, призводять до збоїв в обробці інформації та, у кінцевому рахунку, дестабілізації діяльності відповідного підприємства чи установи.
При розслідуванні у таких справах необхідно, передусім, довести факт порушення певних правил, що спричинило знищення, блокування або модифікацію комп’ютерної інформації. Крім того, необхідно встановити й довести: місце й час порушення правил експлуатації ЕОМ; характер комп’ютерної інформації, що знищена, заблокована чи модифікована внаслідок порушення правил експлуатації автоматизованої системи; спосіб і механізм порушення правил; характер та розмір збитків; факт порушення правил певною особою; винність особи, яка порушила правила; обставини, що сприяли скоєнню злочину.
У цьому випадку необхідно вивчити нормативні документи, де передбачаються правила експлуатації цієї автоматизованої системи. Вони можуть визначати порядок створення, збирання, обробки, накопичення, зберігання, пошуку, розповсюдження та представлення користувачеві комп’ютерної інформації, а також її захист.
Порядок накопичення, обробки, захисту та надання користувачеві інформації з обмеженим доступом визначається органами державної влади або її власником. Такі правила існують, зокрема, в державних архівах, органах державної виконавчої влади, у інформаційних системах яких функціонує конфіденційна інформація як така, що складає, зокрема, державну таємницю. Ступінь таємності та конфіденційності інформації має суттєве значення для визначення розміру збитків, завданих злочинним порушенням правил експлуатації ЕОМ.
Факт порушення правил експлуатації ЕОМ стає відомим, як правило, у першу чергу власникам і користувачам автоматизованої системи внаслідок відкриття відсутності необхідної інформації або її істотних змін. Слідчому доцільно допитати всіх осіб, що працювали на комп’ютері чи обслуговували його обладнання у відповідний час. Допитуваному можуть бути поставлені приблизно такі запитання:
- “Які Ваші обов’язки при роботі з комп’ютером та якими правилами вони встановлені?”
- “Яка робота й за яким порядком виконувалась, коли трапилося знищення, блокування, зміна комп’ютерної інформації?”
- “Які несправності в автоматизованій системі були виявлені?”
- “Які правила роботи з комп’ютером порушені в цій ситуації?”
- “Яким чином повинні фіксуватися факти знищення, блокування чи модифікації комп’ютерної інформації у випадку порушення певних правил експлуатації ЕОМ?”
- “Чи пов’язане знищення, блокування, модифікація інформації з порушенням правил експлуатації ЕОМ, або вони стали наслідком непередбачених обставин ?”.
Факт порушення правил експлуатації ЕОМ може бути встановлений також за матеріалами службового розслідування, яке проводиться, як правило, службою інформаційної безпеки об’єкту. За матеріалами службового розслідування, крім питань, що наведені вище, можуть бути встановлені також місце, час злочинного порушення правил та інші обставини, що підлягають доказуванню.
Місце порушення правил експлуатації ЕОМ можна встановити шляхом слідчого огляду автоматизованих робочих місць (АРМів) користувача автоматизованої системи. Огляд проводиться, як правило, за участю спеціаліста.
Слід зазначити, що необхідно розрізняти місце порушення правил і місце, де наступили шкідливі наслідки. Часто вони не співпадають, особливо при порушенні правил експлуатації комп’ютерних мереж.
При розслідуванні порушення правил експлуатації комп’ютерної мережі вкрай важливо встановити, де розміщено файловий сервер, експлуатація якого здійснювалася з грубим порушенням правил інформаційної безпеки. Необхідно також визначити місця, де розміщені робочі станції, з власними дисководами, бо в цьому випадку є значно більше можливостей для злочинних порушень правил експлуатації комп’ютерної мережі. Це, зокрема, можливість копіювання даних з файлового сервера на дискету або використання дискети з різноманітними програмами, в тому числі – з комп’ютерними вірусами.
Проводиться слідчий огляд облікових даних, де можуть бути відбиті відомості про розташування конкретної робочої станції, що використовується як файловий сервер. Крім того, як свідки допитуються адміністратор мережі та фахівці, що обслуговують файловий сервер, у якому трапилося знищення, блокування або модифікація комп’ютерної інформації. Їм можуть бути задані приблизно такі запитання:
- “На якій робочій станції могли бути порушені правила експлуатації комп’ютерної мережі, де вона розміщена?”
- “Чи могли бути порушені правила експлуатації цієї локальної обчислювальної мережі на конкретній робочій станції?”.
Якщо правила порушені безпосередньо на файловому сервері, то місце порушення правил може співпадати з місцем, де настали шкідливі наслідки. Місце порушення правил може бути встановлене й шляхом проведення судової експертизи, перед експертом можуть бути поставлені такі запитання:
- “На якій робочій станції локальної обчислювальної мережі могли бути порушені правила експлуатації, в результаті чого настали шкідливі наслідки?”
- “Чи могли бути порушені правила експлуатації мережі на конкретній робочій станції?”
Необхідно встановити й зафіксувати як час порушення правил, так і час настання шкідливих наслідків. Порушення правил експлуатації та настання шкідливих наслідків можуть трапитися водночас. Наприклад, у випадку відсутності резервних джерел автономного живлення при відключенні електричної напруги може бути миттєво знищена важлива інформація, яку не встигли записати на дискету.
Для розслідування має також чимале значення проміжок часу між моментом порушення правил та моментом настання шкідливих наслідків. Так, у певний момент вносяться зміни до програми чи базу даних, а шкідливі наслідки цього наступають значно пізніше.
Час порушення правил можна встановити за обліковими даними, до яких відносяться відомості про результати застосування засобів автоматичного контролю комп’ютерної системи, моменти підключення до неї абонентів, зміст журналів обліку збійних ситуацій, передачі змін операторами, роздруковки вихідної інформації. Ці дані можуть бути отримані шляхом проведення огляду місця події, виїмки та огляду окремих документів.
При необхідності може бути призначена судова експертиза, перед якою для встановлення часу злочинного порушення правил можна сформулювати такі запитання:
- “Як технічно здійснюється автоматична фіксація часу звернення користувачів до цієї комп’ютерної системи чи мережі та всіх змін, що відбуваються в інформаційних масивах?”
- “Чи можна за представленими машинними носіями інформації встановити час порушення правил експлуатації ЕОМ, якщо так, то коли порушення сталося?
Час настання шкідливих наслідків встановлюється за матеріалами службового розслідування, за результатами огляду місця події, а також шляхом допиту свідків та виробництва судових експертиз.
Час настання шкідливих наслідків може бути встановлений в результаті виробництва експертизи, при призначенні якої перед експертом доцільно ставити такі запитання:
- “Як технічно здійснюється автоматична фіксація часу знищення, зміни бази даних або блокування окремих файлів? Чи можна встановити час настання шкідливих наслідків і якщо так, то коли вони наступили?”.
Спосіб та механізм порушення правил встановлюється шляхом проведення допитів, слідчого експерименту, виробництва судової експертизи. Так, при допитах з’ясовується послідовність виконання операцій на ЕОМ, що призвели до порушення правил. При відтворенні обставин і обстановки події з’ясовується можливість настання шкідливих наслідків при порушенні певних правил. Воно проводиться, по можливості, на тому ж комп’ютері, при роботі на якому порушені правила. У разі призначення експертизи може бути поставлене запитання: “Який механізм порушення правил експлуатації комп’ютера?”.
Збитки можуть бути чисто економічного характеру, або шкодити інтересам держави внаслідок витоку відомостей, що складають державну таємницю. Розголошення чи втрата такої інформації може завдати серйозних збитків зовнішній безпеці Україні, що передбачає кримінальну відповідальність.
Розмір збитків встановлюється шляхом проведення інформаційно-економічної експертизи, перед якою доцільно ставити запитання: “Яка вартість інформації, знищеної (або зміненої) внаслідок порушення правил експлуатації ЕОМ?”. Ступінь таємності інформації встановлюється у відповідності із Законом України “Про державну таємницю”.
Не будь-яка особа, допущена до ЕОМ, має доступ до всієї комп’ютерної інформації. Доступ до ЕОМ, системи ЕОМ чи мережі мають певні особи, серед яких й слід встановлювати порушників правил користування ЕОМ. Щодо кожного з них встановлюються: анкетні дані; займана посада (належність до категорії посадових осіб, відповідальних за інформаційну безпеку чи до категорії осіб, що безпосередньо відповідають за забезпечення виконання правил експлуатації системи); стаж роботи за спеціальністю; рівень професійної кваліфікації; конкретні обов’язки щодо забезпечення інформаційної безпеки.
Крім того, вивчаються відповідні нормативні акти, якими були встановлені такі посадові обов’язки; причетність до розробки, впровадження цієї комп’ютерної системи чи мережі; наявність й обсяг доступу до баз і банків даних; відомості щодо наявності особистого комп’ютера та обладнання до нього. Ці дані встановлюються шляхом допитів, огляду документів, комп’ютера, обладнання до нього, носіїв інформації тощо.
Рекомендована література
1. Конституція України. - К. 1996.
2. Кримінальний кодекс України.
3. Кримінально-процесуальний кодекс України.
4. Закон України «Про Національну поліцію».
5. Закон України «Про інформацію» від 2.10.1992р. // Відомості Верховної Ради України.1992. – № 48. Ст.651.
6. Закон України «Про оперативно-розшукову діяльність» від 18.02.1992 р.
7. Закон України “Про державну таємницю” від 21.01.1994 р. // Відомості Верховної Ради України.
8. Закон України “Про захист інформації в інформаційно-телекомунікаційних системах” від 5.07. 1994 р. // Відомості Верховної Ради України.
9. Безруков Н. Н. Компьютерная вирусология: Справ. руководство. – К.: УРЕ, 1991.
10. Биленчук П. Д., Хахановский В. Г. Компьютерная безопасность // Бюл. по обм. опытом работы орг. внутр. дел: 1994. – № 115. – С.48–49.
11. Вехов В. Б. Компьютерные преступления: способы совершения и раскрытия / Под ред. акад. Б. П. Смагоринского. - М: Право и закон, 1996.
12. Атлас А. Б. Компьютерные диверсии в США – новое социальное явление. – Магнитогорск, 1988.
13. Батурин Ю. М., Жодзинский А. М. Компьютерная преступность и компьютерная безопасность. – М., 1991.
14. Голубенкова Б. Х. Компьютерная преступность: уголовно-правовые и профессиональные аспекты. – Караганда, 1991.
15. Computer fraud legistation hearing before the subcomm. On criminal law of the comm. on the judiciary, US Senate. 99. Сongress. 1 sess. Oct. 30 1985. Wash. 1986.