Вопросы работы с компьютерными преступлениями на этапе расследования

DOI:

В последнее время количество компьютерных преступлений постоянно увеличивается. Так, согласно данным, полученным из ГИАЦ МВД РФ [2], количество преступных посягательств за последние 10 лет возросло в 22,3 раза и продолжает увеличиваться в среднем в 3,5 раза ежегодно; ежегодный размер материального ущерба от рассматриваемых преступных посягательств составляет 613,7 млн рублей; средний ущерб, причиняемый потерпевшему от 1 компьютерного преступления, равен 1,7 млн рублей. В это же время с определенной долей успеха расследуется лишь около 49 % преступлений; обвинительные приговоры выносятся лишь в 25,5 % случаев от общего числа возбужденных уголовных дел; средний показатель количества уголовных дел, по которым производство приостановлено, составляет 43,5 % и ярко отражает низкую степень профессионализма сотрудников правоохранительных органов в деятельности по раскрытию, расследованию и предупреждению указанных преступных посягательств.

Так как при работе с компьютерными преступлениями до настоящего времени используются стандартные алгоритмы действий, не учитывающие специфик данного вида деяний, то это является одной из причин роста киберпреступности и низким показателем их раскрытия. Таким образом, необходим новый подход к работе с компьютерными преступлениями с учетом специфики преступления и модели потенциального злоумышленника, особенно на этапе расследования.

Модель нарушителя информационной безопасности – это набор предположений об одном или нескольких возможных нарушителях информационной безопасности, их квалификации, их технических и материальных средствах и т. д. [3].

В уголовно-правовой литературе используется целый ряд понятий: «информационное преступление», «компьютерное преступление», «преступление в сфере компьютерной информации».

Первые два из них пересекаются. Предметом информационного преступления является любая информация, в том числе и компьютерная. Под компьютерным преступлением понимается предусмотренное уголовным законом общественно опасное действие, в котором машинная информация является объектом преступного посягательства. В данном случае в качестве предмета или орудия преступления выступает машинная информация, компьютер, компьютерная система или компьютерная сеть [4; 9].

Одной из наиболее распространенных классификаций преступлений в сфере компьютерной информации является кодификатор рабочей группы Интерпола. Согласно данному кодификатору все компьютерные преступления классифицированы по следующим основным классам:

QA – Несанкционированный доступ и перехват.

QD – Изменение компьютерных данных.

QF – Компьютерное мошенничество.

QR – Незаконное копирование.

QS – Компьютерный саботаж.

QZ – Прочие компьютерные преступления [1].

Данная классификация применяется при отправлении запросов или сообщений о компьютерных преступлениях по телекоммуникационной сети Интерпола.

Однако в ряде классификаций, как и в обозначенной, присутствует неоднозначность и неопределенность понятия «компьютерное преступление» из-за смешения уголовно-правовых начал и технических особенностей автоматизированной обработки информации.

В.А. Мещеряковым выделены следующие классы:

1-й класс. Неправомерное завладение информацией или нарушение исключительного права ее использования.

2-й класс. Неправомерная модификация информации.

3-й класс. Разрушение информации.

4-й класс. Действие или бездействие по созданию (генерации) информации с заданными свойствами.

5-й класс. Действия, направленные на создание препятствий пользования информацией законным пользователям [1].

Тем не менее в данной классификации отражены не преступления, а набор возможных противоправных посягательств на компьютерную информацию.

В соответствии с законодательством РФ компьютерные преступления классифицируются следующим образом: компьютерные преступления в сфере оборота компьютерной информации; в сфере телекоммуникаций; в сфере информационного оборудования; в сфере защиты охраняемой законом информации. Каждый вид компьютерных преступлений при этом рассматривается в ст. 129 УК РФ, ст. 137 УК РФ, 138 УК РФ, ст. 140 УК РФ, ст. 146 УК РФ, ст. 155 УК РФ, ст. 159 УК РФ, ст. 165 УК РФ, ст. 169 УК РФ, ст. 171, 171.1 УК РФ, 173 УК РФ, ст. 175 УК РФ, 178 УК РФ, ст. 182 УК РФ, ст. 183 УК РФ, ст. 185.1 УК РФ, ст. 186 УК РФ, ст. 187 УК РФ, ст. 189 УК РФ, ст. 194 УК РФ, ст. 198 УК РФ, ст. 199 УК РФ, ст. 200 УК РФ, ст. 237 УК РФ, ст. 242 УК РФ, ст. 272 УК РФ, ст. 273 УК РФ, ст. 274 УК РФ, ст. 276 УК РФ, ст. 283 УК РФ, ст. 287 УК РФ, ст. 310 УК РФ, ст. 311 УК РФ, ст. 320 УК РФ.

Кроме того, введены три федеральных закона, касающихся безопасности критической информационной инфраструктуры РФ, подписанных президентом 26 июля 2017 года. Так, Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры РФ в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак [8]. Закон устанавливает принципы обеспечения безопасности критической информационной инфраструктуры. Определяются полномочия государственных органов РФ в области обеспечения ее безопасности, а также права и обязанности субъектов критической информационной инфраструктуры. Закон определяет функции Национального координационного центра по компьютерным инцидентам.

Помимо этого, опубликованы еще два федеральных закона, тесно связанных с первым. Один из них – «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона “О безопасности критической информационной инфраструктуры Российской Федерации”». Внесены изменения в Закон РФ «О государственной тайне», Федеральный закон «О связи» и в Федеральный закон «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона “О безопасности критической информационной инфраструктуры Российской Федерации”» дополняет главу 28 («Преступления в сфере компьютерной информации») УК РФ специальной статьей 2741, предусматривающей ответственность за создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру РФ, за неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ, а также за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ [7].

Классически расследование компьютерных преступлений выполняется в соответствии со следующими этапами [6]:

• 1)    допрос свидетеля и потерпевшего;

• 2)    следственный осмотр;

• 3)    обыск и выемка;

• 4)    назначение и производство экспертизы;

• 5)    следственный эксперимент;

• 6)    допрос обвиняемого и подозреваемого.

При этом на этапе расследования в классическом виде у подозреваемого в ходе допроса выясняются его возможности, мотивация и т. д. То есть определяется возможность данного субъекта к совершению преступления.

Однако, имея дело с компьютерными преступлениями, мы предлагаем уже после первых двух этапов расследования создать модель злоумышленника (инфомодель), что позволит повысить эффективность работы с компьютерными преступлениями с точки зрения оптимизации ресурсов.

Модель злоумышленника информационной безопасности – это набор предположений об одном или нескольких возможных нарушителях информационной безопасности, их квалификации, их технических и материальных средствах и т. д. [5]. В таблице представлена разработанная инфомодель злоумышленника, способного совершить компьютерное преступление.

Инфомодель злоумышленника, способного совершить компьютерное преступление

№ п.п.	Тип нарушителя	Вид нарушителя	Мотивация *	Предположения о возможностях нарушителя	Вид компьютерного преступления
1	Внутренний	Сотрудники предприятий, не являющиеся зарегистрированными пользователями и не допущенные к ИР, но имеющие санкционированный доступ в КЗ	М4, М6	Располагает именами и ведет выявление паролей зарегистрированных пользователей; изменяет конфигурацию технических средств обработки; вносит программно-аппаратные закладки в ПТС и обеспечивает съем информации, используя непосредственное подключение к техническим средствам обработки информации	Причинение имущественного ущерба путем обмана или злоупотребления доверием. Непреднамеренные, неосторожные или неквалифицированные действия
2	Внутренний	Зарегистрированные пользователи, осуществляющие ограниченный доступ к ИР с рабочего места	М1, М6, М7, М8	Обладает всеми возможностями лиц первой категории; знает, по меньшей мере, одно легальное имя доступа; обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к ИР; располагает ПДн, к которым имеет доступ	Причинение имущественного ущерба путем мошенничества или иным преступным путем. Непреднамеренные, неосторожные или неквалифицированные действия. Любопытство или желание самореализации. Месть за ранее совершенные действия
3	Внутренний	Зарегистрированные пользователи подсистем, осуществляющие удаленный доступ к ПДн по локальной или распределенной сети предприятий	М1, М2, М6, М7, М8	Обладает всеми возможностями лиц второй категории; располагает информацией о топологии сети и составе технических средств; имеет возможность прямого (физического) доступа к отдельным техническим средствам	Причинение имущественного ущерба путем мошенничества или иным преступным путем. Непреднамеренные, неосторожные или неквалифицированные действия. Любопытство или желание самореализации. Месть за ранее совершенные действия. Выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды
4	Внутренний	Зарегистрированные пользователи с полномочиями администратора безопасности сегмента (фрагмента)	М5, М4, М6	Обладает полной информацией о системном и прикладном программном обеспечении, используемом в сегменте; обладает полной информацией о технических средствах и конфигурации сегмента; имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте; имеет доступ ко всем техническим средствам сегмента; обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента	Причинение имущественного ущерба путем обмана или злоупотребления доверием. Внедрение дополнительных функциональных возможностей в программное обеспечение или программнотехнические средства на этапе разработки. Непреднамеренные, неосторожные или неквалифицированные действия

Окончание таблицы

№ п.п.	Тип нарушителя	Вид нарушителя	Мотивация *	Предположения о возможностях нарушителя	Вид компьютерного преступления
5	Внутренний	Зарегистрированные пользователи с полномочиями системного администратора, выполняющего конфигурирование и управление программным обеспечением и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства мониторинга, регистрации, архивации, защиты от несанкционированного доступа	М4, М6	Обладает полной информацией о системном, специальном и прикладном программном обеспечении, используемом в сегменте; обладает полной информацией о технических средствах и конфигурации сегмента; имеет доступ ко всем техническим средствам и данным; обладает правами конфигурирования и административной настройки технических средств	Причинение имущественного ущерба путем обмана или злоупотребления доверием. Непреднамеренные, неосторожные или неквалифицированные действия
6	Внешний	Бывшие сотрудники	М1, М8	Обладает всеми возможностями лиц второй категории; располагает информацией о топологии сети и составе технических средств; имеет возможность прямого (физического) доступа к отдельным техническим средствам	Причинение имущественного ущерба путем мошенничества или иным преступным путем. Месть за ранее совершенные действия
7	Внешний	Посторонние лица, пытающиеся получить доступ к конфиденциальной информации в инициативном порядке	М1, М2, М7, М9	Располагает именами и ведет выявление паролей зарегистрированных пользователей; изменяет конфигурацию технических средств обработки; вносит программно-аппаратные закладки в ПТС и обеспечивает съем информации, используя непосредственное подключение к техническим средствам обработки информации	Причинение имущественного ущерба путем мошенничества или иным преступным путем. Выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды. Любопытство или желание самореализации. Идеологические или политические мотивы
8	Внешний	Представители преступных организаций	М1, М2	Обладает всеми возможностями лиц первой категории; знает, по меньшей мере, одно легальное имя доступа; обладает всеми необходимыми атрибутами (например, паролем), обеспечивающим доступ к ИР; располагает ПДн, к которым имеет доступ	Причинение имущественного ущерба путем мошенничества или иным преступным путем. Выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды

Примечание. * Возможные цели (мотивация) реализации угроз безопасности информации: М1 – причинение имущественного ущерба путем мошенничества или иным преступным путем; М2 – выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды; М3 – получение конкурентных преимуществ; М4 – причинение имущественного ущерба путем обмана или злоупотребления доверием; М5 – внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические средства на этапе разработки; М6 – непреднамеренные, неосторожные или неквалифицированные действия; М7 – любопытство или желание самореализации (подтверждение статуса); М8 – месть за ранее совершенные действия; М9 – идеологические или политические мотивы.

На основании вышеизложенного можно представить функцию работы с компьютерными преступлениями на этапе расследования в виде

F=F(VK, F1) = F(VK(T, V, C), F1), где T – множество исходных данных; V – множество типичных ситуаций; C – множество рекомендованных следственных действий; VK – множество видов компьютерных преступлений; F1 – функция инфомодели (модели злоумышленника).

Причем в зависимости от постановки задачи возможны варианты:

VK = VK ( F ₁) или F ₁= F ₁( VK ).

Сама же функция инфомодели (модели злоумышленника) примет вид:

F ₁= F ₁(Тн, М, Вн).

где Тн – множество типов злоумышленника; М – множество мотиваций для злоумышленных воздействий; Вн – множество возможностей злоумышленника.

То есть

F ₁= F ₁( F ( VK ( T , V , C ))).

С целью реализации модели работы с компьютерными преступлениями на этапе расследования разработана архитектура (см. рисунок), использованная в алгоритмической модели, позволяющей автоматизировать процесс работы с компьютерными преступлениями на этапе расследования.