Использование специальных знаний для обнаружения, изъятия, фиксации и закрепления энергозависимой компьютерной информации

Использование компьютеров привело к появлению новой технологии изготовления документов и новым видам носителей информации (документы на машинных носителях). «В связи с этим при расследовании уголовных дел о преступлениях, где используется компьютерная техника, особое значение приобретают следы их совершения, которые после соответствующего процессуального закрепления могут приобретать значение доказательств. Здесь крайне важно обеспечить процессуальный порядок обнаружения, закрепления, изъятия, сохранения и исследования компьютерной информации, чтобы использовать ее в доказывании по уголовному делу»1.

Компьютерная информация, как потенциальные процессуальные доказательства, оказалась не исследованной с точки зрения механизма образования следов отображения на машинных носителях информации, способа закрепления данной информации и средств экспертного исследования этих информационных объектов.

Носители компьютерной информации можно разделить на энергозависимые и энергонезависимые. Особенность энергозависимых носителей информации состоит в том, что при отключении питания информация на этих носителях обнуляется (теряется). К таким носителям относятся оперативно запоминающие устройства (оперативная память). К энергонезависимым носителям относится так называемая внешняя память (жесткие диски, дискеты, лазерные диски, флэш-накопители).

В целях обнаружения следов преступления, выяснения других обстоятельств, имеющих значение для уголовного дела, следователь производит осмотр места происшествия, жилища, иного помещения, предметов, документов (ст. 176). Осмотр компьютерной техники требует определенных знаний, которыми в подавляющем большинстве не обладают следователи, что в свою очередь может привести к необнаружению (утрате) следов преступления.

Исследование такого объекта, как оперативно запоминающее устройство (оперативная память), возможно во время осмотра только при работающем компьютере, т.е. во время осмотра. Другой возможности исследования данного объекта, например, при проведении экспертизы, не может быть предоставлено, так как это энергозависимая память, и, как упоминалось выше, отключение питания приводит к полной потере информации. Этого нельзя допустить, поскольку указанная информация может содержать важные сведения для следствия, которые в последующем могут стать доказательствами. Эти сведения указывают, какие программы в данный момент используются и какие они функции выполняют.

Исследование энергонезависимых носителей, по мнению Е.Р. Российской и А.И. Усова, проводится при компьютерно-технической экспертизе2. Мы придерживаемся такой же точки зрения.

Федеральным законом от 4 июля 2003 г. № 92-ФЗ были изменены и дополнены положения ч. 2 ст. 74 и ст. 80 УПК РФ. Эти изменения связаны с введением такого нового вида доказательств, как заключение и показания специалиста.

«Новый вид доказательств расширяет возможности органов дознания, дознавателя, следователя и прокурора в доказывании по уголовному делу. Кроме того заключение специалиста - это еще одна форма использования специальных познаний в уголовном судопроизводстве»3.

«Введение нового источника (вида), средства доказывания должно быть обусловлено двумя критериями, которые должны действовать одновременно: 1) механизм формирования информации в том или ином источнике (именно проверка механизма дает представление об адекватности информации, отраженной доказательством); 2) способ превращения этой информации с помощью процессуальных действий удостоверительного 4 характера в доказательство» .

Рассмотрим способ превращения данной информации в доказательство. Для этой цели целесообразно привлекать специалиста - лицо, обладающее специальными знаниями и участвующее в процессуальных действиях для содействия в обнаружении, закреплении и изъятии предметов и документов, применении технических средств в исследовании материалов уголовного дела.

В.М. Быков утверждает, что «специалист, давая заключение по требованию следователя или в суд, не проводит, в отличие от эксперта, полного и всестороннего исследования объекта с использованием специальных познаний. Он ограничивается, как правило, осмотром представленных ему объектов -предметов, веществ и документов, а специальные познания использует лишь для формирования суждения о признаках объектов»5. Той же точки зрения (но в более категоричной форме) придерживается О.П. Темираев: «Специалист не имеет права и не должен проводить каких-либо исследований, поскольку это исключительная компетенция эксперта... специалист вправе оказать содействие в осмотре того или иного объекта, но не имеет права на самостоятельное исследование, его роль носит вспомогательный характер»6.

Другой точки зрения придерживается С.А. Шейфер, допуская, что деятельность специалиста можно считать исследованием «в том смысле, что специалист активно выявляет искомую информацию»7. Однако при этом он отмечает, что исследование специалиста ни в коем случае нельзя отождествлять с экспертным.

Нам более близка точка зрения С.А. Шейфера, так как если речь идет об осмотре компьютерной техники, исследование оперативной памяти проводится именно специалистом.

А.В. Кудрявцева, рассматривая вопрос о разграничении процессуальной фигуры эксперта и специалиста и их процессуального статуса, отмечает: «Эксперт от специалиста отличается по своему процессуальному положению, которое является производным от уровня решения задач, стоящих перед экспертом и специалистом. Эксперт, производя исследование, использует фактические данные, представленные следователем и судом в виде объектов экспертного исследования, материалов уголовного дела, специальных познаний, утвержденных методов и методик экспертного исследования и на основании этого делает выводы... Специалист действует там и привлекается в том случае, если необходимо и достаточно эмпирического уровня решения вопросов, которые не требуют производства исследования с привлечением лабораторного оборудования, сложных вычислений, длительного времени»8. Мы поддерживаем данную точку зрения и по отношению к исследованию компьютерной информации можем подтвердить сделанный выше вывод. Обнаружение и фиксация данных оперативной памяти (энергозависимой) производится при осмотре специалистом, а исследование внешней памяти (энергонезависимой) проводится в лабораторных условиях экспертом с применением лабораторного оборудования, специально разработанных методов и методик, программного обеспечения в течение длительного времени.

Рассмотрим вопрос о способе превращения компьютерной информации (энергозависимой), полученной в результате осмотра, с помощью процессуальных действий удостоверительного характера в доказательство. Для этого необходимо определить правовой механизм обнаружения, фиксации и закрепления данных оперативной памяти, полученных при помощи специалиста, чтобы в дальнейшем эти данные признавались судом.

Следователь вправе привлечь к участию в следственных действиях специалиста (ст. 168 УПК РФ). В этой связи чрезвычайно важно участие специалиста уже на первом этапе производства осмотра места происшествия. Они не только помогут разобраться в особенностях компьютерного оборудования и машинных носителей информации, укажут, что подлежит изъятию, но и предотвратят умышленное или случайное уничтожение информации.

Согласно ст. 58 УПК РФ формы участия специалиста в расследовании и разрешении уголовных дел следующие: участие в процессуальных действиях; помощь - консультация в постановке вопросов эксперту; разъяснение сторонам и суду вопросов, входящих в его профессиональную деятельность. В данной статье мы рассматриваем такую форму, как участие специалиста в следственных действиях. Часть 3 п. 3 ст. 58 УПК РФ закрепляет, что специалист вправе знакомиться с протоколом следственного действия, в котором он участвовал, и делать заявления и замечания, которые подлежат занесению в протокол. В свою очередь ч. 3 ст. 80 УПК РФ гласит: заключе- ние специалиста - представленное в письменном виде суждение по вопросам, поставленным перед специалистом сторонами.

Возникает вопрос о способе превращения компьютерной информации в доказательство. Делать это надо с помощью описания данной информации в протоколе следственного действия или использовать заключение специалиста? Мы поддерживаем позицию А.В. Кудрявцевой: «Суждения, которые делает специалист, подлежат занесению в протокол следственного действия и являются составной частью протокола - заключением это 9 считать нельзя» .

При производстве следственных действий могут применяться технические средства и способы обнаружения, фиксации и изъятия следов преступления и вещественных доказательств (ч. 6 ст. 164 УПК РФ).

В соответствии с ч. 5 и 8 ст. 166 УПК РФ в протоколах следственных действий должны быть указаны примененные технические средства, их технические характеристики, условия и порядок использования, объекты, к которым эти средства были применены, и полученные результаты. В протоколе отмечается, что участники следственного действия были заранее предупреждены о применении технических средств. К протоколам прилагаются фотоснимки и негативы, киноленты, диапозитивы, фонограммы допросов, кассеты с видеозаписями, носители компьютерной информации, слепки и оттиски следов, чертежи, планы и схемы.

«Игнорирование необходимости протоколирования факта применения технических средств обесценивает доказательственное значение запечатленной на соответствующих носителях информации, не позволяя определить их относимость к делу и, соответственно, их допустимость»10.

Итак, перед началом осмотра места происшествия необходимо принять меры по подготовке с помощью специалиста соответствующей компьютерной техники, которая будет использоваться для считывания и хранения изъятой информации. Это может быть переносной компьютер типа «Notebook», внешние носители информации - дискеты, диски, флэш-накопители, на которые предусматривается копировать информацию. Они должны быть заранее подготовлены, необходимо удостовериться, что на них нет никакой информации. Кроме компьютера и внешних носителей необходимо специальное про граммное обеспечение, позволяющее осуществлять на месте копирование и экспресс-анализ информации.

Сразу по прибытии на место происшествия нужно принять меры к обеспечению сохранности информации в подлежащих осмотру компьютерах и на магнитных носителях, для чего:

• -    не разрешать кому бы то ни было из лиц, работающих в это время или находящихся в помещении по другим причинам, прикасаться к компьютерному оборудованию, а также пользоваться телефоном (в случае экстренной и острой необходимости можно разрешить пользоваться телефоном, однако только под контролем специалиста);

• -    не разрешать кому бы то ни было выключать электроснабжение объекта;

• -    не разрешать никому никаких манипуляций с компьютерной техникой, если их результат заранее не известен.

При осмотре работающего компьютера (с участием специалиста) следует:

• -    определить тип установленной операционной системы. Если установлена система семейства «Microsoft Windows», то необходимо установить серийный номер и имена зарегистрировавших её лиц. Это можно сделать двумя способами:

• 1.    С помощью специализированных программ, при использовании которых необходимо зафиксировать полученные данные, сохранив их в отдельный файл. Для этого необходимо произвести следующие действия. Нажать кнопки: «Пуск» —» «Настройки» —* «Панель управления» —» «Система» (в англоязычной версии операционной системы «Microsoft Windows» кнопки: Start —* Control Panel —* System). На экране монитора будет отображен серийный номер операционной системы и имена зарегистрировавших ее лиц.

• 2.    С использованием данных реестра. Реестр - база данных операционной системы, содержащая конфигурационные сведения. Основным средством для просмотра и редактирования записей реестра служит специализированная утилита «Редактор реестра». Для ее запуска необходимо нажать кнопки: «Пуск» —► «Выполнить» и набрать команду «regedit» или запустить файл «regedit.exe» из каталога «Windows». В появившемся окне редактора следует найти и зафиксировать необходимую информацию в ветви реестра HKEYLOCALMACHINE

\Software\Microsoft\Windows(WindowsNT)\

CurrentVersion, в которой значение строкового параметра ProductKey (ProductlD) - это серийный номер операционной системы, RegisteredOrganization, RegisteredOwner -данные лица и организации, зарегистрировавших данную копию операционной системы, PathName - рабочий каталог Windows. Полученную информацию, изображенную на экране дисплея, необходимо детально описать, по возможности произвести распечатку, сфотографировать или сделать видеозапись;

• -    обратить внимание и зафиксировать в протоколе дату и текущее время на дисплее компьютера;

• -    установить, какие программы (приложения) выполняются. Если загружена одна из версий операционной системы семейства «Microsoft Windows» (95, 98, 2000, NT и др.), это можно увидеть на экране дисплея, открыв «Диспетчер задач» Windows («Task Manager» в англоязычной версии Windows). Диспетчер задач открывается при одновременном нажатии сочетания клавиш «Ctrl», «Alt», «Del»;

• -    установить, какие процессы запущены. Эта информация доступна также из окна «Диспетчер задач». Все отображенное на экране необходимо описать в протоколе и по возможности зафиксировать с помощью фото-или видеозаписи. Тип программного обеспечения, загруженного в момент осмотра компьютера, может свидетельствовать о задачах, для которых использовался данный компьютер;

• -    при наличии технической возможности скопировать информацию, которая может иметь значение для дела (программы, файлы данных), находящуюся в оперативном запоминающем устройстве ОЗУ, поскольку после выключения компьютера она может быть уничтожена;

• -    указать тип и размер, изготовитель носителя, на который произведено копирование, программу, с помощью которой производилось копирование, объем, тип, дата, файлов, которые были скопированы;

• -    упаковать носитель в конверт, коробку, специальную упаковку и опечатать. Следует помнить, что информация может быть испорчена влажностью, температурным влиянием или электростатическими (магнитными) полями;

• -    по мере необходимости и возможности остановить исполнение программы и установить, какая информация получена после окончания ее работы;

• -    установить наличие в компьютере накопителей информации (так называемые жесткие диски или «винчестеры», дисководы для дискет, стримеры, оптические диски), их тип (вид) и количество.

Если компьютер подключен к локальной сети, то необходимо:

• -    установить количество подключенных к серверу рабочих станций или компьютеров, вид связи сети, количество серверов в сети;

• -    по возможности организовать одновременный осмотр включенных в локальную сеть рабочих станций и компьютеров (по вышеизложенной схеме осмотра работающего компьютера). Если же такая возможность отсутствует, следует обеспечить их остановку и далее производить осмотр в режиме неработающего компьютера. При этом следует иметь в виду, что даже если по внешним признакам создается впечатление, что компьютер не работает, необходимо избегать каких-либо самостоятельных действий с ним без специалиста.

При изъятии отдельных устройств вычислительной техники и машинных носителей информации, обнаруженных в процессе осмотра места происшествия, рекомендуется соблюдать следующие правила их упаковки и транспортировки.

Опираясь на изложенное, мы пришли к выводу, что без участия специалиста весьма проблематичны, если не сказать просто невозможны поиск, обнаружение, фиксация и закрепление данных оперативной памяти. Поэтому мы предлагаем на законодательном уровне закрепить обязательное участие специалиста при осмотре компьютерной техники по аналогии с ч. 1 ст. 178 УПК РФ.

В этом случае данные, находящиеся в оперативной памяти, будут собраны надлежащим образом и должны быть признаны доказательством в суде.