Характеристика и особенности преступлений, связанных с нарушением правил эксплуатации ЭВМ, системы ЭВМ или их сети

Здесь необходимо прежде всего установить факт существования конкретных правил эксплуатации ЭВМ на данном объекте. Они могут касаться порядка создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю компьютерной информации, защите ее на любой стадии информационного процесса. К правилам эксплуатации ЭВМ может относиться, техническая документация на приобретаемые компьютеры; конкретные принимаемые в определенном учреждении или организации, оформленные нормативно и подлежащие доведению до сведения соответствующих работников правила внутреннего распорядка; требования по сертификации компьютерных сетей и оборудования; должностные инструкции конкретных сотрудников; правила пользования компьютерными сетями.

Факт грубого нарушения правил эксплуатации ЭВМ обычно становится известным в первую очередь непосредственным владельцам и пользователям компьютерной системы или сети после обнаружения ими отсутствия необходимой информации или существенного изменения ее, когда это уже отрицательно отразилось на основной деятельности предприятия, организации, учреждения.

Для установления конкретного  правила эксплуатации ЭВМ, нарушение  которого привело к вредным последствиям, следователю целесообразно допросить  всех лиц, работавших на ЭВМ или обслуживающих компьютерное оборудование в тот период, когда это произошло (с участием специалиста). При допросе необходимо выяснить:

- функциональные обязанности  конкретного сотрудника при работе  с ЭВМ (либо оборудованием к  ней), какими правилами они установлены, имеет ли данное лицо доступ к ЭВМ, их системе или сети;

- какую конкретно работу  на ЭВМ и в каком порядке  данный сотрудник выполнял;

- когда произошел факт  уничтожения, блокирования, модификации  компьютерной информации или  наступили иные вредные последствия;

- какие неполадки в компьютерной  системе были обнаружены при  работе на ЭВМ, не было ли  при этом каких-то сбоев, которые  могли бы причинить существенный  вред компьютерной информации;

- какой установленный порядок  при работе с компьютером мог  быть нарушен в данной ситуации либо они явились следствием непредвиденных обстоятельств, если да, то с какими конкретно.

Факт нарушения правил эксплуатации ЭВМ может быть установлен по материалам служебного расследования, которое  обычно проводится службой информационной безопасности того объекта, где это произошло; прокурорской проверки; оперативно-розыскных мероприятий. Поступившие следователю для решения вопроса о возбуждении уголовного дела материалы подлежат тщательному и всестороннему изучению. Следователь должен усмотреть в них основание для возбуждения уголовного дела -наличие достаточных данных, указывающих на признаки преступления.

Конкретное место нарушения  правил эксплуатации ЭВМ устанавливается  при осмотре рабочих мест пользователей  ЭВМ, компьютерной системы или сети. Осмотру подлежат все компьютеры, подключенные к сети ЭВМ. Цель - установить местонахождение компьютера, эксплуатация которого привела к вредным последствиям в результате преступного нарушения определенных правил его использования.

Необходимо различать место нарушения и место наступления вредоносных последствий. Они не всегда совпадают, особенно если идет речь о нарушении правил эксплуатации компьютерных сетей, которые, как известно, представляют собой объединение отдельных персональных компьютеров, расположенных на расстоянии друг от друга, и предназначены для совместного использования информации и обращении к периферийному оборудованию (принтерам, прокси-серверам, и пр.). Осмотру подлежат: рабочие станции локальных вычислительных сетей, в качестве которых применяются персональные компьютеры, объединенные внутри здания или в пределах небольшой территории; файловый сервер, обслуживающий все рабочие станции и осуществляющий совместное использование файлов, размещаемых на его дисках; принтеры, которые тоже могут находиться далеко от того места, где расположена рабочая станция.

Таким образом, основная задача осмотров рабочих мест - установить, где расположена рабочая станция, эксплуатация которой осуществлялась с грубым нарушением правил информационной безопасности. В первую очередь необходимо обратить внимание на рабочие станции, имеющие собственные дисководы. У них значительно больше возможностей для преступных нарушений правил эксплуатации компьютерных сетей. Они, к примеру, имеют возможность копировать данные с файлового сервера на свою дискету или использовать дискеты с различными программами, в т.ч. с компьютерными вирусами, и подвергать опасности целостность информации, содержащейся в центральных файловых серверах, чего не имеют бездисковые рабочие станции. Таков один из важных признаков, по которому можно установить место совершения преступления. Другой способ - это следственный осмотр учетных данных, где могут быть отражены сведения о расположении конкретной рабочей станции, использующей файловый сервер. В качестве свидетелей могут быть также допрошены администратор сети и специалисты, обслуживающие файловый сервер, в котором произошло уничтожение, блокирование или модификация компьютерной информации. Кроме того, с особой тщательностью подлежат рабочие места, имеющие собственные каналы выхода во внешние сети, в частности в Интернет. При осмотре изучаются файлы истории, содержащие данные о последних посещениях различных сайтов, протоколы соединения, содержащие данные о имени и пароле пользователя, времени и продолжительности соединения.

В ходе допросов свидетелей выясняются следующие обстоятельства: на какой рабочей станции могли быть нарушены правила эксплуатации компьютерной сети и где она расположена; могли ли быть нарушены правила эксплуатации данной локальной сети на рабочей станции, расположенной в определенном месте (если нарушение правил произошло непосредственно на файловом сервере, то место нарушения этих правил может совпадать с местом наступления вредных последствий).

Место нарушения правил может быть установлено и по результатам  производства компьютерно-технической  экспертизы.

При определении времени  нарушения правил эксплуатации ЭВМ  необходимо установить и зафиксировать  раздельно:

а) время нарушения  конкретных правил;

б) время наступления  вредных последствий.

Нарушение правил, и наступление  вредных последствий может произойти одновременно. Например при отключении электропитания, в результате нарушения установленных правил обеспечения информационной безопасности, может быть мгновенно уничтожена с трудом введенная в компьютер очень важная информация, которую не успели записать на дискету (это в случае отсутствия запасных источников автономного питания, которые обычно автоматически подключаются при отключении основного). И может быть значительный разрыв во времени между моментом нарушения правил и временем наступления вредных последствий. Так, к примеру, сначала вносятся изменения в программу или базу данных в нарушение установленных правил и в результате только через определенное время наступают вредные последствия, которые либо сразу обнаруживаются, либо через какое-то время.

Время нарушения правил обычно устанавливается по учетным  данным, которые фиксируются в  процессе эксплуатации ЭВМ. Такими данными  могут быть: сведения, полученные в  результате использования средств  автоматического контроля компьютерной системы, ее регистрирующих пользователей, моменты подключения к ней абонентов, а также файлы учета сбойных ситуаций, книги (либо журналы) учета передачи смен операторами ЭВМ, распечатки выходной информации, где, как правило, фиксируется время ее обработки. Такие данные могут быть получены в результате проведения осмотра места происшествия и выемки необходимых документов. Особое значение имеет осмотр и этой документации. Время нарушения правил можно установить путем допроса свидетелей из числа лиц, участвующих в эксплуатации ЭВМ.

При необходимости может  быть назначена судебная компьютерно-техническая  экспертиза, перед которой для  установления времени преступного  нарушения правил можно сформулировать следующие вопросы:

Как технически осуществляется автоматическая фиксация времени обращения пользователей к данной компьютерной системе или сети (всех происходящих изменений в их информационных массивах)?

Какова хронология внесения изменений в программное средство; какова хронология использование программного средства (начиная с ее инсталляции)?

В процессе осмотра места  происшествия могут быть обнаружены машинные носители информации, на которых  ранее хранились важные данные, охраняемые законом, а вследствие нарушения  определенных правил эксплуатации ЭВМ  они оказались уничтоженными  или существенно изменены либо допуск к ним стал невозможным (нужная информация оказалась заблокированной). На них может быть зафиксировано время наступления таких последствий. Это можно выявить в результате следственного осмотра с участием специалиста.

Указанные последствия чаще обнаруживаются непосредственно пользователями компьютерной системы или сети, а также администраторами базы данных. Поэтому при допросе их в качестве свидетелей следует выяснить когда они впервые обнаружили отсутствие или существенное изменение той информации, которая находилась в определенной базе данных?

Поскольку непосредственным предметом преступного посягательства согласно ст. 274 УК РФ является охраняемая законом информация ЭВМ, при расследовании  рассматриваемой категории преступлений необходимо установить ее характер. Законом, как известно, охраняется любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

Режим защиты информации устанавливается в отношении:

а) сведений, отнесенных к государственной тайне;

б) конфиденциальной информации;

в) персональных данных.

Поэтому в первую очередь  требуется определить к какому из этих видов относится информация, которая была подвергнута уничтожению  в результате преступного нарушения правил эксплуатации ЭВМ. Это устанавливается специальными органами согласно соответствующим нормативным правовым актам (законодательством о государственной тайне, коммерческой тайне и персональных данных). Далее необходимо установить - кто является собственником или владельцем данных информационных ресурсов или информационной системы в целом, какова их стоимость.

Способ нарушения правил эксплуатации ЭВМ может быть активным или пассивным. Первый выражается в  самовольном выполнении непредусмотренных операций при компьютерной обработке информации.

Второй - в невыполнении предписанных действий.

Механизм нарушения  таких правил связан с технологией  обработки информации на ЭВМ. Это, к  примеру, может быть, выражено в неправильном включении и выключении ЭВМ, использовании посторонних дискет без предварительной проверки наличия в них компьютерного вируса, отказе от обязательного копирования информации для ее сохранения на случай уничтожения первого экземпляра (т.е. архивирования) и т.д.

Способ и механизм нарушения этих правил устанавливаются путем допросов свидетелей, подозреваемых и обвиняемых (желательно с участием специалистов), проведения следственного эксперимента или производства компьютерно-технической экспертизы. При допросах выясняется последовательность той или иной операции на ЭВМ, которая привела к нарушению правил.

При проведении следственного  эксперимента выясняется возможность  наступления вредных последствий  при нарушении определенных правил. Он проводится на копиях исследуемой  информации и по возможности на той же ЭВМ, на которой произошло нарушение правил.

Характер ущерба, наносимого преступным нарушением правил эксплуатации ЭВМ, в общих чертах обозначен  в самой диспозиции ст. 274 УК РФ: он может заключаться в уничтожении, блокировании или модификации охраняемой законом информации.

Необходимо различать  лицо, имеющее доступ к ЭВМ, а также  лицо, имеющее право доступа к  компьютерной информации. Не обязательно, чтобы лицо, имеющее доступ к ЭВМ, имело право на доступ к компьютерной информации, находящейся в ЭВМ. Доступ к ЭВМ, к системе ЭВМ или к сети, как правило, имеют лица в силу выполняемой ими работы, связанной с эксплуатацией или обслуживанием. Вот этих лиц и следует устанавливать в процессе расследования.

Следствием необходимо установить следующие данные о лице: фамилия, имя, отчество; занимаемая должность (отношение к категории должностных лиц, ответственных за информационную безопасность и надежность работы компьютерного оборудования либо к категории непосредственно отвечающих за обеспечение строгого выполнения правил эксплуатации данной компьютерной системы или сети); образование; специальность; стаж работы по специальности и на данной должности; уровень профессиональной квалификации; конкретные обязанности данного лица по обеспечению информационной безопасности и нормативные акты, которыми они установлены (положение, приказ, распоряжение, контракт, договор, проектная документация на автоматизированную систему и пр.); отношение к разработке, внедрению к опытной и промышленной эксплуатации данной компьютерной системы или сети; наличие прав доступа к базам и банкам данных (в каком объеме); данные, характеризующие лицо по месту работы; имеется ли у данного лица дома компьютер и оборудование к нему.