Компьютерная информация есть результат научно-технического прогресса, затронувшего все сферы жизнедеятельности. На данном этапе эволюции невозможно представить какую-либо сферу деятельности как отдельного человека, так и человечества в целом без использования информационно-телекоммуникационных технологий. В статье раскрыты некоторые особенности объекта компьютерной экспертизы. Обращено внимание на анализ выносимых вопросов при назначении компьютерно-технической экспертизы, позволяющих восстановить технический аспект совершенного преступления. Обозначены проблемные аспекты, возникающие при обнаружении, изъятии и копировании электронной информации. Предложено закрепить на законодательном уровне обязательное участие специалиста не только на этапе обнаружения цифровых следов, но и на всех последующих этапах их исследования. Акцентировано внимание на повышениb знаний в сфере информационно-телекоммуникационных технологий лиц, ведущих предварительное расследование уголовных дел. Определены технико-криминалистические средства, с помощью которых возможно восстановление удаленных данных с электронных носителей, преодоление системы безопасности и шифрования на заблокированных устройствах, установление конкретного пользователя и мест его нахождения в заданный отрезок времени.
компьютерно-техническая экспертиза, специалист, облачное хранилище, семантическое содержание, расследование
Компьютерная информация – это любая информация, которая может быть введена в компьютер или создана с помощью компьютера и использоваться для обработки, хранения, передачи и получения различных данных. Она может включать в себя текст, звук, изображения, видео, программное обеспечение и другие данные, которые используются как для личных, так и для коммерческих целей. Компьютерная информация присутствует во всех сферах деятельности человека, включая науку, технику, бизнес, коммуникации. Она является необходимым элементом в создании, обработке и передаче данных в цифровом формате, что делает ее незаменимым инструментом в современном обществе. Компьютерная информация может представлять как стандартную, так и пользовательскую информацию. Стандартная информация включает в себя различные данные, которые используются в компьютерной среде например, коды символов, протоколы передачи данных, форматы файлов и др. Пользовательская информация – это информация, которую создает или вводит пользователь при работе с компьютером (электронная почта, текстовые документы, изображения). Многие авторы научных работ на данную тематику определяют компьютерную информацию как данные, выраженные электрическими сигналами [1, с. 7; 2, с. 61; 3, с. 56; 4, с. 21; 5, с. 322; 6, с. 105; 7, с. 137; 8, с. 206]. Криминалистическое исследование компьютерной информации – достаточно новое явление в криминалистической технике. Появилось оно в первую очередь благодаря высокому уровню цифровизации общества. Все больше общественных процессов перетекает в цифровую среду. Наряду с положительными аспектами развития информационной индустрии общество сталкивается с негативными особенностями указанного процесса, трансформирующимися в преступления, совершаемые посредством виртуального пространства, где используются такие средства, как компьютерные вирусы, вредоносные программы, различные модификации гаджетов, персональные компьютеры, цифровые технологии, которые направлены на несанкционированный доступ к техническим средствам, личным данным и денежным ресурсам. Сложность раскрытия указанной категории преступлений заключается в опосредованности их совершения, что влечет определенные трудности в поиске, фиксации, изъятии и исследовании объектов его совершения. Данное явление связано, во-первых, с отсутствием специальных знаний в сфере информационно-телекоммуникационных технологий (далее – ИТТ) у лица, проводящего расследование, во-вторых, с непониманием последним информационно-технических процессов совершения преступления. Частично данная проблема решена законодателем в ч. 4.1 ст. 164 Уголовно-процессуального кодекса Российской Федерации, где указано обязательное участие специалиста при изъятии электронных носителей информации. Однако для комплексного решения данной задачи необходимо обеспечить взаимодействие следователя и лица, обладающего специальными познаниями в области компьютерных технологий, не только на этапе обнаружения следов, но и на последующих: осмотре, назначении компьютерных экспертиз, допросе подозреваемых, обвиняемых и т. д. Кроме того, при имеющихся пробелах в определении понятийного аппарата компьютерной информации, отсутствии понимания механизма совершения преступлений с использованием ИТТ предлагаем лицам, ведущим расследование уголовных дел, обращаться к источникам, которые могут дать подробное понимание этого понятия и самого процесса совершения преступления. К таким источникам относятся специализированные учебники, научные статьи, руководства по использованию компьютеров и программного обеспечения, онлайн-ресурсы, включая справочники и энциклопедии. Полезным будет общение и обмен опытом с людьми, имеющими достаточный уровень знаний в области информационных технологий, или преподавателями компьютерных курсов. Кроме того, развитию собственного понимания компьютерной информации может способствовать практическое использование компьютеров и программного обеспечения, обучение новым технологиям и участие в семинарах и обучающих курсах. Это позволит лучше понять принципы работы компьютеров и способы использования компьютерной информации в различных областях деятельности, а также тщательно разобраться в способах действий преступников по следовой картине киберпреступлений. Одним из наиболее важных инструментов, позволяющих восстановить весь процесс совершенного преступного деяния в сфере цифровых технологий, является проведение судебной компьютерно-технической экспертизы. В настоящее время криминалистическое исследование компьютерной информации проводится по многим категориям преступлений. В частности, данный процесс актуален для расследования преступлений в сфере компьютерной информации, экономической направленности, терроризма и экстремизма, распространения порнографической продукции, нарушений авторских и смежных прав. Объектом криминалистического исследования указанных категорий преступлений является непосредственно информация, содержащаяся на различных электронных носителях, виртуальных пространствах и обладающая определенной специфичностью. Так, имеющие значение для расследования преступлений цифровые следы могут отображаться на аппаратных средствах, периферийном оборудовании, физических носителях магнитной информации, программных средствах, машинной информации. Кроме того, цифровые следы могут находится в облачных хранилищах. При этом следует учитывать, что само хранилище не будет являться носителем информации, так как информация в них хранится на специальных носителях информации1 . В случае если объектом исследования будет являться данная компьютерная информация, возникает проблема ее предоставления эксперту, так как изъятие носителя или снятие образа осуществляется путем направления запроса владельцу ресурса, который, имея подданство другого государства, часто оставляет данный запрос без ответа. При назначении и производстве судебного компьютерно-технического исследования вычислительной техники, программных продуктов, информационных объектов важно соблюдать ряд условий. Важнейшим из них является обеспечение сохранности полученной компьютерной информации. В данном случае необходимо уделить особое внимание способу ее фиксации. В правоприменительной практике этот процесс осуществляется путем создания копии полученной информации. Для обеспечения надлежащей сохранности компьютерной информации применяются всевозможные инновационные программы блокираторов записи, такие как Disklock, HDSEntry. Данные программы применяются при невозможности создания точной копии. Отметим, что компьютерная информация достаточно уязвима и часто может быть подвержена воздействию посторонних факторов. При утрате такой информации или электронного носителя необходимо ставить вопрос о причине случившегося: произошло ли это случайно или по чьей-либо вине. Рассматривая вопрос назначения судебной компьютерно-технической экспертизы, необходимо акцентировать внимание на совместной работе следователя и эксперта. В частности, рекомендуем при принятии решения о производстве данного вида экспертиз обращаться к эксперту этой области знания для оказания помощи в постановке вопросов. При поступлении объектов и постановления следователя о производстве судебной компьютерно-технической экспертизы эксперт оценивает все представленные материалы, их достаточность для решения необходимых для следствия задач по указанной категории преступлений, проводит анализ правильности постановки вопросов. Исходя из примеров правоприменительной практики, следователь при назначении судебной компьютерно-технической экспертизы в постановлении ставит вопросы, касающиеся квалификации, оценки действий. Однако эксперт не может быть компетентным в данных вопросах, поэтому необходимо ставить вопросы исключительно в рамках исследования. При непосредственном производстве указанного вида исследования экспертами применяются технические средства, отвечающие современным технико-криминалистическим возможностям: 1. Аппаратно-программные комплексы «Мобильный Криминалист Эксперт» или «UFED TK», направленные на восстановление удаленных данных. Это поможет определить, какие подготовительные действия были совершены, какие были попытки сокрытия следов преступления [9]. 2. XRY Logical – более усовершенствованный зарубежный аналог «Мобильного Криминалиста». Программа дает возможность быстро извлекать, получать и восстанавливать данные прямо на месте преступления, кроме того, позволяет преодолевать системы безопасности и шифрования на заблокированных устройствах. 3. Встроенный приемный и передающий модуль GPS или Глобальная навигационная спутниковая система (ГЛОНАСС) способствует определению местонахождения пользователя в конкретной период времени. Это позволяет определить, где мог находиться потенциальный преступник во время совершения преступления. Данное устройство сохраняет информацию о месте и времени соединения с роутером. 4. Медиафайлы. На многих телефонах имеется функция, позволяющая конкретизировать место, где было сделано фото или видео. Для достижения указанной цели можно использовать электронные транспортные карты, которые указывают на время и местонахождение конкретного лица в заданную единицу времени. Вместе с тем получить данную информацию следователь может либо через оператора связи, либо непосредственно из электронного устройства, изъятого у лица. 5. Комплекс «ЛИС-М», позволяет найти конкретного пользователя, а также осуществляет поиск общих знакомых подозреваемого. 6. EnCaseForensic способствует осуществлению анализа информации и по итогу подготавливает отчеты о полученных результатах. Таким образом, можно сделать вывод, что сам процесс криминалистического исследования компьютерной информации в России апробирован. Имеется четкое понимание, за какую область отвечает специалист, эксперт и следователь. Специфичным является только круг вопросов, которые ставятся перед экспертом для проведения исследования и в последующем для дачи заключения. Особенность также проявляется в использовании только для данного объекта средств и техники, применяемых при производстве экспертиз. К экспертам и специалистам предъявляются скорее общие требования с учетом своеобразия сбора и фиксации компьютерной информации. Выделяя отличительные черты компьютерной информации, нельзя не отметить такой ее признак, как отсутствие семантического содержания. Это означает, что информация не имеет смыслового значения либо не может быть интерпретирована без дополнительной обработки или контекста. Например, если информация представлена в виде набора случайных символов и битов, то она может быть бессмысленной, пока не будет применена соответствующая кодировка или алгоритм для ее интерпретации. Также отсутствие семантического содержания возникает в результате ошибок или повреждений при передаче, хранении или обработке данных. Если данные пострадали от ошибок, то информация может быть искажена или непригодна для использования. Для обработки и интерпретации такой информации обычно необходимо применять алгоритмы для распознавания, распаковки или восстановления данных. Это может включать в себя методы реконструкции или восстановления потерянной информации, использование словарей, баз данных или других ресурсов для присвоения значения символам или битам. Поэтому находясь на месте совершенного преступления, в том числе и лицо, обладающее специальными познаниями в области компьютерной информации, не имея технического оснащения (компьютера либо определенных программ), не сможет установить и обнаружить значимую для расследования информацию. В этом случае для продуктивной реализации следственного действия, направленного на поиск информационных следов, большое значение приобретает подготовительный этап его проведения, на котором необходимо достоверно установить, в виде чего может быть представлена искомая информация, на каких носителях она содержится и при использовании каких технических средств ее можно обнаружить. Как и при совершении преступлений других видов во избежание наказания подозреваемым оказывается противодействие в установлении его виновности. Такие действия выражаются в уничтожении, сокрытии и зашифровке компьютерной информации. Если в других случаях при использовании специального программного обеспечения имеется реальная возможность обнаружения и восстановления информации, то при использовании сложных алгоритмов зашифровки, а также наличии определенных запретов в конкретном государстве на использование сложных алгоритмов шифрования или требование разрешения и лицензий для использования определенных алгоритмов получить семантическое содержание такой информации является практически невозможным. В данной статье рассмотрены некоторые проблемные аспекты обнаружения, фиксации и изъятия компьютерной информации и ее носителей. В связи с тем, что в эпоху цифровизации всех сфер общественных отношений проблемы, возникающие при выявлении электронных следов совершенных преступлений, становятся все острее, необходимо и в дальнейшем прорабатывать специфику использования технических средств, а также тактические особенности проведения следственных действий при расследовании преступлений в сфере информационных технологий.
1. Нугаева Э. Д., Низаева С. Р., Гайнельзянова В. Р., Харисова З. И. Особенности первоначального этапа расследования неправомерного доступа к компьютерной информации : учебно-методическое пособие. Уфа : Уфимский ЮИ МВД России, 2022.
2. Нугаева Э. Д., Чаплыгина В. Н. Роль цифровых технологий в оптимизации криминалистической деятельности // Актуальные проблемы уголовно-процессуального права, криминалистики и оперативно-розыскной деятельности : сборник статей, 2022. С. 60-63.
3. Харисова З. И., Филиппов О. А., Нугаева Э. Д. Изъятие криминалистически важной информации с мобильных средств связи в рамках расследования преступлений, совершаемых с использованием информационно-телекоммуникационных технологий // Вестник института права Башкирского государственного университета. 2023. № 1. С. 57-64.
4. Зуев С. В. Расследование преступлений в сфере компьютерной информации и электронных средств платежа : учебное пособие для вузов. М. : Юрайт, 2023. 243 с.
5. Россинская Е. Р., Шамаев Г. П. Новый раздел криминалистики: криминалистическое исследование компьютерных средств и систем // BaikalResearchJournal. 2015. Т. 6. № 1. С. 317-325.
6. Смушкин А. Б. Цели, задачи и функции электронной цифровой криминалистики // Криминалистика: вчера, сегодня, завтра. 2020. № 1 (13). С. 103-107.
7. Налбандян Р. Г. Получение компьютерной информации как новая категория оперативно-розыскного законодательства // Проблемы экономики и юридической практики. 2018. № 1. С. 136-138.
8. Мицкевич А. Ф., Суслопаров А. В. Понятие компьютерной информации по российскому и зарубежному уголовному праву // Пробелы в российском законодательстве. Юридический журнал. 2010. № 2. С. 206-209.
9. Скобелин С. Ю. Использование цифровых технологий при доказывании преступной деятельности // Российский следователь. 2019. № 3. С. 27.
