Криминалистическая характеристика преступлений, связанных с неправомерным доступом к компьютерной информации

Преступления в сфере компьютерной информации – это обозначение преступных деяний, предусмотренных гл. 28 УК РФ, объединяющей ст. 272, 272.1, 273, 274, 274.1, 274.2. Стоит отметить, что в настоящее время существенно увеличилось количество преступлений, связанных с утечкой конфиденциальных данных, способных нанести ущерб объектам критической информационной инфраструктуры Российской Федерации (ст. 274.1); хищением персональных данных граждан, их неправомерным использованием и распространением (ст. 272.1) [1, c. 156]; противоправным применением информационно-телекоммуникационных технологий организованными преступными группами, которые все чаще используют вредоносное программное обеспечение (ст. 273); нарушением правил эксплуатации средств хранения, обработки и передачи компьютерной информации (ст. 274), централизованного управления средствами противодействия угрозам устойчивости и безопасности функционирования сети Интернет (ст. 274.2). Отдельно следует отметить неправомерный доступ к охраняемой законом информации (ст. 272), который составляет 99,56 % от общего числа зарегистрированных в 2024 г. преступлений в сфере компьютерной информации¹.

В связи с этим особенно важно рассмотреть возможности оптимизации процесса расследования именно преступлений, связанных с несанкционированным доступом к информации, в частности изучить элементы, входящие в их криминалистическую характеристику.

Под доступом к компьютерной информации понимается возможность ознакомиться с ней либо в дальнейшем ею воспользовать-ся2 в результате применения тех или иных средств и способов, что определяет наступление одного или нескольких последствий:

– уничтожение информации (в виде приведения ее (или ее части) в непригодное для использования по назначению состояние вне зависимости от возможности дальнейшего ее восстановления);

– блокирование информации (в виде создания условий, препятствующих в течение некоторого времени или постоянно доступу к компьютерной информации субъекта, имеющему право на него, а также ограничения или прекращения доступа к персональным компьютерам, системам и находящимся в них информационным ресурсам);

– модификация информации (в виде любых изменений компьютерной информации, в том числе внесение изменений в программное обеспечение, базы данных и информационные ресурсы, размещаемые на электронных носителях информации);

– копирование информации (в виде неправомерного дублирования информации на другой носитель и воспроизведения ее в любой форме).

Соответственно, неправомерным признается доступ к информации лица, которое на момент доступа не обладало соответствующими правами на работу с данной информацией, персональным компьютером или информационной системой, равно как и не имело прав на использование средств и способов для ознакомления с информацией, в отношении которой приняты специальные меры защиты3.

Элементы криминалистической характеристики преступлений, связанных с неправомерным доступом к компьютерной информации

Все преступления в сфере компьютерной информации имеют общую родовую криминалистическую характеристику [2, c. 585], которая включает в себя сведения о способах совершения преступлений, лицах, их совершивших, о потерпевшей стороне и обстоятельствах, способствующих и препятствующих совершению данных преступлений. Между тем лишь перечисление элементов такой системы не может в полной мере определять ее сути, требующей выявления взаимосвязей между ее составляющими. Поэтому актуальной задачей является проведение содержательного анализа элементов криминалистической характеристики преступлений, связанных с неправомерным доступом к компьютерной информации, с точки зрения системно-структурного, а также кибернетического подходов. Результаты анализа могут послужить основой для формирования информационной модели преступления в сфере компьютерной информации на основе наиболее значимых элементов сформированной криминалистической характеристики.

Анализ уголовных дел по фактам совершения рассматриваемых преступлений позволил выделить соответствующие текущему уровню состояния преступности в сфере компьютерной информации элементы их криминалистической характеристики:

– способ совершения преступления (с описанием типичных следов преступления, способов их сокрытия, вероятных мест их нахождения и распространенности (серийности) преступного деяния);

– обстановка (место (среда), время) совершения преступления;

– личность преступника;

– личность потерпевшего и (или) предмет посягательства.

Включение в «способ совершения преступления» в сфере компьютерной информации такого элемента, как «распространенность (серийность) преступного деяния», целесообразно, поскольку подтверждается на практике необходимостью проверки схожести (серийности) эпизода с ранее выявленными преступными деяниями и обязательным включением сведений о способе и иных обстоятельствах совершения преступления в подсистемы программно-технического комплекса интегрированного банка данных федерального уровня (ИБД-Ф) ГИАЦ МВД России. Кроме того, серийность преступного деяния – один из обязательных реквизитов4 для указания в статистической карточке преступления, содержание которого может выступить основой для формирования нового криминалистического учета цифровых доказательств [3, c. 96], что сонаправлено с одной из основных задач государственной информационной системы противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий5.

Способ совершения преступления

Среди основных преднамеренных способов осуществления неправомерного доступа к компьютерной информации можно отметить преодоление систем защиты в виде хи- щения учетных данных пользователей; использование несовершенств систем защиты информации; выявление уязвимостей программного обеспечения (эксплойтов (от англ. exploit – эксплуатировать)) и операционных систем; несанкционированное подключение к техническим средствам и информационным системам, а также вспомогательному компьютерному оборудованию – внешним запоминающим устройствам и пр., в том числе удаленно или в случае системной поломки; фишинг (создание поддельных ресурсов или сообщений для несанкционированного получения данных) и т. п.

Процессы, возникшие в ходе случайных действий либо стечения обстоятельств, относят к непреднамеренным. Это может быть, например, доступ к учетной записи иного пользователя из-за автосохранения пароля в браузере; работа на ПЭВМ, доступ к которой имеется у нескольких пользователей (в офисе, коворкинге), с сохранением личных данных в системе. К программным способам можно отнести неправомерный доступ к компьютерной информации, осуществленный с использованием специализированного программного обеспечения. Доступ к информации с использованием непрограммных способов осуществляется посредством специальных технических средств, но не предполагает использование дополнительных приложений (например, установку аппаратных устройств, записывающих нажатия клавиш (кейлоггинг), и т. п.). В целом все способы неправомерного доступа к компьютерной информации можно подразделить на непосредственный, удаленный и гибридный. В большинстве случаев при совершении указанных преступлений применяются комбинации перечисленных способов, функционирующих по различным алгоритмам [4, c. 100].

Анализ уголовных дел позволил выявить основные средства совершения неправомерного доступа к компьютерной информации. При непосредственном доступе ими могут выступать носители информации, эксплуатируемые с техническими средствами, а при опосредованном – сетевое оборудование и средства доступа в информационные системы (средства вычислительной техники, мобильные средства связи и пр.). К основным сред- ствам также относится различное программное обеспечение (например, VPN-сервисы (Virtual Private Network – виртуальная частная сеть), обеспечивающие шифрование трафика и сокрытие реального IP-адреса преступника, системы прокси-серверов, построенные на базе многослойного шифрования данных, и пр.), в том числе вредоносное, предназначенное для распространения в локальных информационных системах в целях выполнения какого-либо деструктивного действия (удаление, блокирование или изменение файлов), а также программное обеспечение, предназначенное для проведения тестов на проникновение, и пр.

Основными способами сокрытия следов неправомерного доступа к компьютерной информации являются: очищение журналов и шифрование событий в системе; удаление сведений о подключениях к ПЭВМ или информационным системам; использование программных средств анонимизации в целях подмены IP-адресов устройств (VPN-сервисы и системы прокси-серверов); несанкционированное подключение к беспроводным точкам доступа; использование беспроводных модемов с SIM-картами, оформленными на подставных лиц, с целью анонимизации абонентских номеров, а также VoIP-технологий (от англ. Voice Over Internet Protocol – протокол, обеспечивающий передачу речевого сигнала по сети Интернет или другим IP-сетям) и виртуальных (облачных) автоматических телефонных станций; использование мессенджеров, обеспечивающих усиленное шифрование данных, и пр.

Типичными следами неправомерного доступа к компьютерной информации в общем случае являются: цифровые (установленное программное обеспечение, используемое для несанкционированного доступа, изменения в конфигурации операционной системы устройства, журналы подключений к ПЭВМ или информационным системам, модифицированные или блокированные файлы данных и т. п.) и материальные следы на компьютерной периферии.

Основными следообразующими и следовоспринимающими объектами преступлений рассматриваемого вида могут выступать: системное и прикладное программное обеспечение; поименованные области записей на носителях информации; электронные файлы;

базы данных; электронные ключи (подписи); идентификаторы в сети передачи данных (например, IP-адрес устройства или МАС-адрес его сетевой карты), IMEI-коды мобильных средств связи, DNS-адреса; реестры операционных систем; файлы подкачки и временные файлы; сетевой трафик; цифровые финансовые активы и электронные кошельки; IMS-, SMS- и MMS-сообщения.

Отдельно стоит отметить факторы, связанные с развитием генеративного искусственного интеллекта, метавселенных и квантовых алгоритмов, которые порождают относительно новые виды преступных деяний, связанных с неправомерным доступом к компьютерной информации (подмена данных, кража виртуальной собственности, идентификаторов личности, взлом ключей шифрования, перехват данных и т. п.). По рассматриваемым преступным деяниям следовоспринимающими и следообразующими объектами будут, например, сфальсифицированный мультимедиаконтент [5, c. 2], метаданные [6, c. 416] и конфигурации серверов, формирующие метапространство (журналы функционирования программного обеспечения, обеспечивающего визуализацию трехмерных виртуальных пространств и работу децентрализованных сетей [7, c. 2], конфигурационные файлы с настройками дополненной (AR), виртуальной (VR) и расширенной (XR) реальностей, сетевые адреса взаимодействия цифровых аватаров и пр.), или конфигурации квантовых компьютеров (реестры эксплуатации квантовых приложений и дампов квантовых состояний, протоколы квантовых связей [8, c. 80] и пр.). Вероятными местами расположения типичных следов неправомерного доступа к компьютерной информации в цифровом виде являются носители информации, серверное оборудование и облачные хранилища, в том числе файлы и каталоги хранения данных, файлы конфигурации программ удаленного доступа и пр.

Распространенность преступного деяния выражается в установлении факта схожести эпизода на основе полученных сведений об использовании в преступной схеме способа совершения преступления. Так, например, идентифицирующими признаками схожести могут выступать идентичные реквизиты в виде MAC- или IP-адресов устройств, абонентских номеров, программируемых ботов, используемых для совершения массовых атак, IMEI-кодов задействованных мобильных средств связи, электронных адресов, банковских реквизитов и т. п.

Несмотря на имеющиеся проблемы реализации основных принципов теории криминалистической идентификации [9, c. 80] по установлению связи между двумя объектами (идентифицируемым и идентифицирующим) посредством определения их идентичности или отсутствия таковой в процессе расследования преступного деяния [10, c. 236], а также на сложности идентификации материальных процессов, явлений, состояний материальных объектов и их комплексов в соответствии с кибернетической теорией распознавания образов [11, c. 71] и теорией криминалистической диагностики, введение категории «распространенность преступного деяния» в элемент криминалистической характеристики «способ совершения преступления» в свете построения цифровых криминалистических моделей [12, c. 60] представляется актуальным. Ввиду тесной взаимосвязи с цифровыми идентифицирующими признаками преступных деяний рассматриваемого вида это позволит наиболее просто осуществить выявление задействованных в преступлении объектов либо диагностику протекающих информационных процессов, например, путем использования методов интеллектуального анализа и распознавания данных [13, c. 8]. Предлагаемый подход соответствует одному из главных направлений совершенствования криминалистического обеспечения, который заключается в интеграции в процесс расследования алгоритмов искусственного интеллекта и машинного обучения [14, c. 123].

Обстановка совершения преступления

Обстановка совершения неправомерного доступа к компьютерной информации предполагает как непосредственный доступ к объекту посягательства (преимущественно в момент отсутствия обладателя защищаемой информации), так и удаленный из любой точки мира (при наличии подключения к сети Интернет или к локальной сети предприятия) и определяется спецификой работы с данными в электронном виде, использованием программно-аппаратных средств для их обработки, хранения и передачи.

Местами совершения рассматриваемых преступлений являются как конкретные ПЭВМ, серверы или информационные системы (зачастую значительно удаленные друг от друга), так и локальные территории, учреждения и организации, в которых эксплуатируется объект преступления. В целях сокрытия физического расположения преступника удаленный доступ нередко осуществляется из общественных мест, предоставляющих сеть Интернет в порядке пользования услугами на базе организации. В подавляющем большинстве случаев местом (средой) совершения неправомерного доступа к компьютерной информации является киберпространство ввиду его распространенности среди населения, реже ‒ метапространство, блокчейн (распределенные реестры) либо гибридные инфраструктуры (распределенные облачные системы хранения данных и пр.). Таким образом, местом совершения рассматриваемого вида преступлений является, как правило, место реализации преступного умысла в интернет-пространстве – место, где фактически располагалось компьютерное оборудование, посредством которого реализован преступный план.

Согласно ч. 2 ст. 9 УК РФ временем совершения преступления признается время окончания преступного деяния, вне зависимости от момента наступления последствий. Время совершения рассматриваемых преступлений не всегда устанавливается точно, поскольку при их совершении часто задействуются различные ПЭВМ, программное обеспечение, информационные системы и т. д., реестры функционирования которых бывает довольно сложно сопоставить. Кроме того, работа указанных средств связана с временем, установленным в их системе, которое может быть легко изменено преступником в целях искажения типичных следов.

Таким образом, анализ обстановки совершения преступления, представленной в качестве самостоятельного элемента криминалистической характеристики, позволяет следователю получить информацию об обстоятельствах и условиях, предшествовавших преступлению, о том, что в обстановке спо- собствовало или препятствовало его совершению, каким образом обстановка повлияла на выбор способов, орудий и средств совершения преступления, а также о личности потерпевшего и др. [15, c. 35].

Личность преступника

Сведения о преступнике, сопоставленные с данными о способе и обстановке совершения преступления, позволяют сформировать новые сведения, способствующие его поиску и изобличению [16, c. 32]. Как правило, лицо, осуществляющее неправомерный доступ к компьютерной информации, имеет высшее или среднее инженерно-техническое либо экономическое образование, обладает устойчивыми преступными навыками. Совершаемые преступления часто носят серийный, многоэпизодный характер и сопровождаются тщательными действиями по сокрытию следов преступной деятельности.

Все чаще рассматриваемые деяния совершают несовершеннолетние, действующие по заранее определенным алгоритмам, диктуемым преимущественно взрослыми, что способствует активному вовлечению этой категории лиц в преступную деятельность [17, c. 57].

Одной из особенностей личности преступника, совершающего преступление в сфере компьютерной информации в целом, является его возраст – от 16 до 45 лет [18, c. 77], около 90 % лиц, совершивших указанные деяния, мужского пола [19, c. 75]. Вместе с тем деление преступников на возрастные категории весьма условно [20, c. 44].

Как правило, преступник грамотно владеет комплексом манипулятивных приемов и техник воздействия на жертву с целью неправомерного доступа к конфиденциальной информации, методами социальной инженерии, а также совокупностью знаний в области социологии и психологии, которые позволяют управлять поведением людей, играя на их эмоциях, чувствах, страхах и рефлексах, прогнозируя их возможное поведение исходя из складывающейся обстановки. Анализ уголовных дел показывает, что преступники часто используют принцип доверия, построенного на знании, тщательно готовятся к атаке конкретного лица, собирая о нем информацию из открытых источников, персонализируя ее под предмет неправомерного доступа.

Основными мотивами совершения неправомерного доступа к компьютерной информации выступают корыстные побуждения (получение материальной выгоды), личная неприязнь к собственнику информации, вымогательство или мошенничество, хулиганство, вандализм (разрушение информационных систем, атаки на технические средства и пр.), шпионаж (получение сведений экономической направленности, о личной жизни и пр.).

Личность потерпевшего и (или) предмет посягательства

Предметом неправомерного доступа к компьютерной информации являются охраняемые законом сведения, под которыми понимаются данные о лицах, предметах, фактах, событиях, явлениях и процессах, находящиеся на машинном носителе информации, в ЭВМ, системе ЭВМ или их сети6 в форме электрических сигналов. Нематериальный характер компьютерной информации не может выступать веским аргументом в пользу отрицания возможности ее рассмотрения в качестве предмета неправомерного доступа по смыслу ст. 272 УК РФ [21, c. 184].

Личность потерпевшего можно связать с владельцем технического средства или информационной системы, в которые осуществлен неправомерный доступ. Потерпевших по рассматриваемым преступлениям можно также разделить на категории по принадлежности к физическим или юридическим лицам, к государственным структурам.

Исходя из анализа сложившейся за последние несколько лет следственной и судебной практики можно выделить отличительные особенности личности потерпевшего. Как правило, основными чувствами и эмоциями, которые испытывают потенциальные жертвы, являются любопытство, жадность, жалость или страх, способные отключить объективное восприятие действительности, критическое мышление и логику. Дополняет перечисленное такой фактор, как безотлагательность действий, диктуемых преступ- ником, что усиливает манипуляционный эффект. В протоколах допроса потерпевших часто фигурируют фразы: «все было как в тумане», «сам(-а) не понял(-а), как все произошло», «сделал(-а) все на автомате» и пр. Таким образом, в ряде случаев осуществляется вовлечение потерпевшего в совершение преступления с применением психологических манипуляций с целью, например, получения уникального кода для осуществления несанкционированного доступа к ресурсу или склонения жертвы к самостоятельной загрузке программного обеспечения, позволяющего удаленно управлять ее устройством.

Характерной особенностью потерпевшей стороны является бездействие или неохотное желание сообщать о преступлении в правоохранительные органы, что обусловлено безосновательным предположением о низкой вероятности раскрытия преступления. Потерпевшие часто не могут предоставить минимально необходимые данные и доказательства для создания полноценной картины расследования (параметры входа в сеть, учетные данные и пр.) [22, c. 95], что является следствием пока еще низкого уровня просвещенности населения в области информационно-телекоммуникационных технологий. Часто потерпевший использует условно бесплатное программное обеспечение или приложения, в которых настроен обход контроля лицензий, что позволяет внедрить в устройство пользователя дополнительный функционал для несанкционированного доступа к информации.

Стоит также отметить, что исследование уголовных дел показало массовость и идентичность совершаемых преступлений рассматриваемого вида, которые редко организуются единолично. Часто правоохранительные органы имеют дело с повторяющимися, детально подготовленными деяниями со сложным и многоступенчатым механизмом, что может осуществляться только организованными преступными группами, включающими организатора; специалистов в области информационных технологий и программирования; лиц, обладающих компетенциями в области компьютерных технологий, эксплуатации ПЭВМ и иных технических средств, а также электронных кошельков с целью последующего перевода на них денежных средств; лиц, осуществляющих снятие наличных денежных средств со счетов или в банкоматах7, и пр.

Потерпевшей стороной среди юридических лиц обычно являются организации финансового сектора, преимущественно занимающиеся электронной коммерцией, оказывающие телекоммуникационные или образовательные услуги. Кроме того, крупные компании и корпорации не желают сообщать в правоохранительные органы о совершенных преступлениях в связи с действующей репутационной политикой, боязнью раскрытия механизма обеспечения информационной безопасности и функционирования систем защиты информации на предприятии.

Заключение

Выявление актуального набора элементов, входящих в состав криминалистической характеристики отдельно взятого вида преступлений – в сфере компьютерной информации, – позволит в дальнейшем формировать информационно-компьютерные модели деяний [23, c. 69] (обобщение сведений о криминалистически значимых признаках конкретного вида преступления и их закономерных связях на основе изучения больших массивов уголовных дел), а также цифровые криминалистические модели преступлений (обобщение в машиночитаемой форме, в которой сведения о значимых признаках и их взаимосвязях выражены математическими категориями) в виде основ криминалистической методики их расследования. Знание о модели в виде типовых наборов элементов криминалистической характеристики преступлений позволяет выдвигать достоверные криминалистические версии об обстоятельствах, подлежащих установлению и доказыванию в каждом конкретном случае.

Элементы криминалистической характеристики рассматриваемой категории преступлений имеют существенное значение и требуют своевременной актуализации. Стоит также отметить, что все выделенные составляющие находятся в неразрывной связи друг с другом и обретают причинноследственные связи. Необходимость их выявления и актуализации обусловлена тем, что при наличии сформированных наборов элементов, специфичных для конкретного преступного деяния, следователь сможет выстроить криминалистические версии и подобрать наиболее подходящую методику расследования со значительно меньшими трудовыми и временны́ ми затратами.

Таким образом, криминалистическая характеристика преступлений, совершаемых в сфере компьютерной информации, фактически представляет собой информационнотеоретическую базу для создания типовых алгоритмов их расследования. Изложенное позволяет сделать вывод о возможности формирования на их основе так называемого цифрового двойника [24, c. 3563] преступления в виде его цифровой копии, позволяющей оптимизировать процесс расследования. В качестве исходных дополнительных данных для построения такого рода информационно-компьютерной модели могут быть отобраны условные признаки, которые в наибольшей степени влияют на прогноз раскрываемости (взятые, например, из статистических карт по преступлениям прошлых лет) и, по сути своей, выступают значимыми элементами криминалистической характеристики преступления.