Расследование преступлений в сфере компьютерной информации в Российской Федерации и зарубежных странах

При исследовании цифровых следов в сети В. Б. Вехов предлагает введение термина «дорожка электронных следов», аналогично трасологическим, которая обозначает систему образования следов в информационно-телекоммуникационных сетях, состоящую из нескольких последовательно расположенных по времени и логически взаимосвязанных записей о прохождении компьютерной информации по линиям связи через коммутационное оборудование оператора(–ов) связи от компьютера преступника до компьютера потерпевшего127. На наш взгляд, такая интерпретация вполне логична и оправданна.

Несмотря на большое разнообразие способов совершения преступлений в сфере компьютерной информации, источники криминалистически значимой информации будут примерно одни и те же при любом из них. В частности, это будут разного рода идентификаторы, позволяющие установить конкретное устройство или точку соединения (например, IP или MAC128 адреса, IMEI129, ICCID130 и др.), лог-файлы, данные, предоставляемые провайдерами (например, сетевой трафик и его статистика, сведения о соединениях, лог-файлы подключений и пр.), и данные, содержащиеся на носителях и непосредственно воспринимаемые следователем (фото, видео, текстовые файлы, переписки, установленные программы и приложения и пр.).

К стандартным местам их нахождения относятся:

а) постоянное и оперативное запоминающее устройства компьютера;

б) оперативные запоминающие устройства периферийных устройств;

в) внешние носители цифровой информации (например, флеш-карты, съемные жесткие диски и пр.);

г) сервера (локальных или глобальной сети);

д) облачные хранилища.

Не умаляя значения цифровых следов, при расследовании преступлений в сфере компьютерной информации не стоит забывать и о традиционных – трасологических, биологических и пр., месторасположение которых обусловлено механизмом их следообразования.

Способ совершения преступления и личностные характеристики субъекта находятся в неразрывной связи с иными обстоятельствами, подлежащими доказыванию, являющимися элементами криминалистической характеристики – личностью потерпевшего, обстановочными факторами (местом, временем и др.).

Виктимологический аспект является важной составляющей криминалистической характеристики. Вместе с тем, ему уделено много меньше внимания по причине высокой латентности преступлений в сфере компьютерных технологий и частой обезличенности потерпевшего.

При этом выбор жертвы напрямую зависит от мотивации преступника и его целей. Так, если речь идет о корыстном мотиве, то чаще всего непосредственной атаке подвергается не сам человек (за исключением атак, основанных на социальной инженерии), а информационная система – компьютер или их сеть. Соответственно, при выборе цели преступник ориентируется не на личностные или демографические характеристики потенциальной жертвы, а на размер потенциального выкупа, состояние и уровень защищенности компьютерной системы и пр. Также при совершении преступных деяний из хулиганских побуждений, четкие связи субъекта с потерпевшей стороной не прослеживаются.

Например, пользователь социальной сети «ВКонтакте» под псевдонимом «Артур Амаев», который позиционирует себя как «стример», присоединялся к обучающим онлайн-трансляциям школьников, разыгрывал их, при этом вел себя вызывающе, хамил, фактически срывал проводимые дистанционным образом учебные занятия, в связи с чем было возбуждено уголовное дело по признакам преступления, предусмотренного ч. 1 ст. 272 УК РФ131.

Однако, если ведущим мотивом выступает месть, личная неприязнь, устранение конкурентов, то личное знакомство с преступником, социальные связи потерпевшего играют ключевую роль. Так, например, г-н П. был осужден по ч. 2 ст. 272 УК за то, что, будучи уволенным за прогулы, осуществил неправомерный доступ к компьютерной информации организации, где работал до увольнения, что повлекло уничтожение программного обеспечения Microsoft Server 2012, Microsoft Lync 2013, 1С Бухгалтерия, 1С Торговля и др., вследствие чего была безвозвратно уничтожена информация о хозяйственно-финансовых отношениях с контрагентами, об объеме и периодичности товарооборота, финансовые показатели деятельности организации, финансовая, бухгалтерская и налоговая отчетность и причинен существенный ущерб132. Или: В., являясь генеральным директором ЗАО «Х», с целью создания условий для разрыва деловых отношений, установленных между ОАО «А» и ООО «А» по оказанию обществом услуг по продаже электронных авиабилетов ОАО «А», и устранения конкурента своей фирмы в данной сфере, принял решение дискредитировать ООО «А» как надежную фирму. Для этого В., вступив с подчиненным ему ведущим специалистом службы информационной безопасности ЗАО «Х» П., а также И. и Д., занимавшихся оказанием «хакерских услуг», в предварительный сговор, и действуя согласно единого преступного плана и отведенных каждому участнику группы ролей, осуществили компьютерную DDoS-атаку (типа «отказ в обслуживании») на информационные ресурсы ООО «А». Осуществление данной компьютерной атаки привело к блокированию работы системы оплаты и приобретения электронных билетов на сайте ОАО «А» на весь период атаки133.

Анализ отечественных, зарубежных литературных и иных источников, судебно-следственной практики в ракурсе виктимологии показал, что в качестве потерпевших по данной категории дел могут выступать: государство в лице органов государственной власти и управления, организации и предприятия всех форм собственности, физические лица. При этом выделим пугающие тенденции последних лет:

– глобальность характера кибератак и их последствий (например, в ходе атаки на инфраструктуру водоснабжения и канализации в Израиле хакеры планировали изменить концентрацию хлора в подаваемой в жилые дома воде, что привело бы к массовому отравлению, инцидент с отключением электроэнергии из-за кибератаки в Индии сказался на работе фондовой биржи, больниц и транспортной системы нескольких городов134);

– избирательность при выборе жертв и целей, включающий изучение финансового положения компаний на рынке, оценку значимости отрасли (например, энергетика, банковская сфера и пр.) и потенциальных последствий атаки для компании-жертвы в целях получения от нее выкупа, суммы которых стали запредельно высокими (по данным исследователей актуальных киберугроз средняя сумма выкупа составляет 1,1 млрд долл.)135;

– существенное увеличение кибератак с использованием вредоносного ПО на государственные, в т. ч. медицинские учреждения, оказывающие непосредственную помощь в борьбе с пандемией (система здравоохранения Великобритании при атаке WannaCry, сеть больниц Universal Health Services, Университета Вермонта, больница в Дюссельдорфе), компании, задействованные в производстве и поставке вакцин – лаборатории, логистические и фармацевтические компании (Fareva и Dr. Reddy’s), а также Европейское агентство лекарственных средств, которое выдает разрешения на использование вакцин136).

Вместе с тем, все также актуально правило: слабая информационная защита является виктимным фактором, в связи с чем организации мелкого и среднего бизнеса чаще подвергаются компьютерным атакам, нежели крупные. В то же время жертвами становятся и крупные компании и корпорации, имеющих собственные подразделения информационной безопасности, репутационные риски которых не позволяют им привлекать правоохранительные органы для восстановления нарушенных прав137. В связи с этим ряд зарубежных авторов-исследователей выдвигает тезис о том, что жертвы преступлений в сфере компьютерной информации сами виноваты в том, что они подвергаются атакам, потому что неосмотрительны, некомпетентны и пренебрегают средствами информационной защиты. Более того, оправдывая свое преступное поведение, субъекты данных преступных деяний заявляют, что потерпевшие «заслужили то, что с ними произошло»138