The trace pattern of thefts in the sphere of information technologies

Savchenko Oksana Aleksandrovna Postgraduate at the Russian Law Academy of the Ministry of Justice of the Russian Federation, Department of Criminal Procedural Law and Criminalistics 140104, Russia, Moskovskaya oblast', g. Ramenskoe, ul. Oktyabr'skaya, 3, kv. 67 vigiitori@mail.ru Other publications by this author

Хищения в сфере информационных технологий образуют отдельную группу преступлений, предметом посягательства которых является чужое имущество, а средствами их совершения – программные продукты и технические устройства сферы информационных технологий. Выделение хищений в сфере информационных технологий в отдельную группу преступлений закономерно обусловлено образовавшейся взаимосвязью между общественными отношениями в области права собственности и сферой информационных технологий в результате внедрения и использования последних в процессе реализации имущественных отношений.

Хищения в сфере информационных технологий могут быть совершены в виде мошенничества в сфере компьютерной информации, кражи в сфере информационных технологий, присвоения или растраты с использованием информационных технологий. В процессе совершения указанных видов хищений в сфере информационных технологий или попытки их совершения образуются характеризующие указанную группу преступлений следы, видами которых могут быть материальные и идеальные следы, следы-предметы, следы-вещества, механические и иные виды следов ^{[6, с. 307]}.

Указанные виды следов составляют две группы следов хищений в сфере информационных технологий: следы, представляющие собой изменения привычной среды, и следы, являющиеся изменением информационной среды, сферы информационных технологий. Как справедливо отмечает Р. С. Белкин, содержание изменений представляет собой информацию – сведения об изменениях ^{[1, с. 279]}. Таким образом, информация об изменениях окружающей обстановки вследствие совершения либо попытки совершения хищения в сфере информационных технологий составляет предмет криминалистического исследования следов хищений в указанной сфере.

К изменениям привычной среды, или традиционным следам хищений в сфере информационных технологий, относятся следы механического воздействия в виде повреждений технического устройства, его частей, химического воздействия (оплавление аппаратуры), следы пальцев рук, иные следы преступления. К указанным следам также относятся следы-предметы, источники криминалистически значимой информации о предметах, содержащих сведения о хищении в сфере информационных технологий: носители информации в электронной и документальной форме, технические устройства.

Следы в компьютерной информационной среде, второй вид изменений, образуются в результате использования в качестве средства совершения преступления программных продуктов и технических устройств, относимых к элементам сферы информационных технологий. Следы преступления в компьютерной информационной среде в научной литературе иногда определяют как «компьютерно-технические следы» ^{[4, с. 61]}. Следует согласиться с мнением Е. Р. Россинской, что для описания указанных следов наиболее приемлемым является термин «информационно-технологические следы» ^{[5, с. 112]}.

Таким образом, под следами хищения в сфере информационных технологий следует понимать изменения нормального состояния среды в результате совершения или попытки совершения хищения в сфере информационных технологий, включающие две группы следов: трасологические следы и следы, образованные в сфере информационных технологий.

Одним из видов следов хищений в сфере информационных технологий, а также преступлений в сфере компьютерной информации, относимых к следам механического воздействия, являются следы на металлической поверхности контактов USB устройств, подключаемых к компьютеру. Так, в процессе использования электронных носителей информации в виде карт памяти (flash–накопителей), на контактах USB типа «А» подключаемого к компьютеру электронного носителя информации образуются следы взаимодействия данных контактов устройства с портом USB персонального компьютера или ноутбука. Как видно из рисунка 1, данные следы представлены в виде повреждений поверхности контактов USB электронного накопителя информации, образующихся вследствие трения поверхностей контактов USB–порта компьютера и контактов USB подключаемого устройства. При этом отдельный порт USB оставляет на поверхности контактов карты памяти следы, характерные лишь для данного порта, аналогично идентифицирующим определенное огнестрельное оружие следам на гильзе. Указанные повреждения при увеличении являются следами скольжения, трения при подключении электронного накопителя информации к компьютеру поверхностей контактов USB двух указанных устройств в виде продольных полос.

Рисунок 1. Следы механического воздействия на контактах USB типа «А» электронного носителя информации (четырехкратное увеличение)

В результате использования одного и того же USB–порта компьютера или ноутбука при подключении различных электронных накопителей информации, на контактах последних остаются аналогичные повреждения. Следовательно, возможна идентификация следов, оставляемых конкретным техническим устройством на контактах электронных накопителях информации, используемых преступником при совершении хищения в сфере информационных технологий. В ходе осуществления настоящего исследования были выбраны несколько электронных носителей информации с контактами USB типа «А», изображенных на рисунке 2, для подключения которых к ноутбуку использовался один и тот же USB–порт. В результате осмотра поверхности контактов двух электронных накопителей информации, выявлены идентичные повреждения, образовавшиеся вследствие соприкосновения с контактами порта USB ноутбука при подключении к нему электронных накопителей.

Рисунок 2. Исследование поверхностей контактов USB типа «А» электронных накопителей информации

Причина повреждений заключается в наличии неровностей на металлической поверхности контактов USB–порта. На рисунке 3 в качестве примера представлено сравнение повреждений, образовавшихся на поверхностях контактов двух электронных накопителей информации.

Рисунок 3. Сравнение повреждений, образовавшихся на поверхностях контактов двух электронных накопителей информации в результате подключения к порту USB ноутбука

Изменение компьютерной информационной среды вследствие хищения в сфере информационных технологий по своей сути представляет собой создание новой компьютерной информации о действиях преступника в информационной среде в процессе совершения преступления. Указанные изменения могут быть образованы в результате использования в качестве средства хищения отдельных видов информационных технологий. Процессами, приводящими к изменениям в компьютерной информационной среде в результате совершения хищения в сфере информационных технологий, то есть к образованию следов преступления, являются: использование легальной компьютерной программы, вредоносной компьютерной программы, поддельного электронного документа, несанкционированное использование электронной подписи, изменение, ввод, копирование, блокирование, уничтожение компьютерной информации и иные процессы.

Так, в результате использования компьютерной вредоносной программы, компьютерного вируса, следы образуются в памяти запоминающего устройства в виде записей о вмешательстве компьютерной вредоносной программы в работу операционной системы устройства или отдельных программ. Механизм следообразования отражается в последовательности записей операционной системы о действиях компьютерной вредоносной программы. К следам использования компьютерной вредоносной программы относятся: записи о месте размещения компьютерной вредоносной программы, нарушении информационных процессов, возникновении сбоев в работе операционной системы, возможном взаимодействии компьютерной вредоносной программы с удаленным устройством, следы создания, копирования, модификации, удаления, передачи компьютерной информации. Отличие в использовании компьютерной программы и вредоносной компьютерной программы в процессе совершения хищения в сфере информационных технологий также заключается в характере следов преступления. Использование компьютерного вируса оказывает деструктивное воздействие на информационную систему устройства, ее функции либо работу устройства в целом. Тогда как в случае использования преступником легальной компьютерной программы в целях хищения следов вредоносного воздействия на операционную систему не образуется.

В процессе расследования хищений в сфере информационных технологий и криминалистического исследования следов их совершения необходимо учитывать, что следовая картина отдельных видов хищений в сфере информационных технологий имеет свою специфику.

Следовая картина совершения кражи в сфере информационных технологий представлена в равной степени следами, оставленными в сфере информационных технологий, компьютерной информации, и следами, традиционными с точки зрения трасологии. К изменениям информационной среды относятся: следы копирования, изменения компьютерной информации, следы на электронных носителях компьютерной информации, записи в log-файлах, следы неправомерного доступа к компьютерной информации, перечисления электронных платежных средств с «электронного кошелька» потерпевшего на счет «электронного кошелька» преступника или иных лиц. Указанных следы несут информацию, характеризующую осуществление действия по непосредственному доступу к компьютерной информации, данным, их использованию в целях хищения, действий по изъятию имущества из правомерного владения. К традиционным следам в процессе совершения кражи в сфере информационных технологий относятся следы пальцев рук, механического воздействия в связи с использованием преступником технических устройств, следы–предметы.

Совершение мошенничества в сфере компьютерной информации характеризуется множеством различного вида следов. Каждое действие, перечисленное в ч. 1 ст. 159.6 УК РФ, оставляет соответствующие следы изменения информационной среды в виде блокирования, создания, модификации, копирования, удаления компьютерной информации. Мошенничество в сфере информационных технологий может быть совершено с использованием электронного документа, вредоносной компьютерной программы. Как отмечает Е. П. Ищенко, специфика следовой картины использования электронного документа заключается в стадиях существования указанного документа ^{[3, с. 19]}, и в совокупности с криминалистически значимыми признакам электронного документа, к которым также относятся его реквизиты, представляет наиболее полную информацию, имеющую значение для криминалистического исследования. Таким образом, использование поддельного электронного документа, электронного документа, содержащего заведомо ложные сведения, отражается в следах создания указанного документа, применения определенной компьютерной программы в целях внесения изменений в электронный документ, хранения, размещения электронного документа в памяти устройства, сети Интернет.

Использование преступником вредоносной компьютерной программы при совершении мошенничества в сфере компьютерной информации оставляет следы нарушения нормального функционирования операционной системы устройства, следы блокирования, копирования, создания, модификации, удаления, перенаправления компьютерной информации. В том числе, к следам совершения мошенничества в информационной среде относятся следы, характеризующие факт получения потерпевшим сведений заведомо ложного характера в электронном, цифровом виде, следы перечисления денежных или электронных платежных средств, следы размещения и рассылки информации ложного характера посредством службы электронной почты, в сети Интернет.

В связи с внедрением в организациях различных форм собственности электронных систем финансовой отчетности, бухгалтерского учета, безналичных расчетов, системы электронного документооборота, иных выполняющих служебные функции программных продуктов, увеличилось количество совершаемых хищений в форме присвоения или растраты с использованием информационных технологий. В рамках настоящего исследования, по результатам анализа текстов судебных решений, доступных на Интернет-портале Государственной автоматизированной системы «Правосудие» ^[2], установлено, что примерно 25% от общего числа уголовных дел о присвоении и растрате, рассмотренных судами г. Санкт-Петербург за 2016 год, составляют уголовные дела о присвоении или растрате, совершенных с использованием информационных технологий. Следовая картина совершения присвоения или растраты представлена: следами на жестком диске служебного компьютера, записями об информационных процессах, регистрируемыми диспетчером задач, записями в памяти устройства, log-файлах компьютерной информационной системы, следами несанкционированного изменения электронного документа, следами нарушения законного режима использования электронной подписи, записями на бумажных, электронных носителях информации, следами подлога документов, электронных документов финансовой отчетности, следами списания денежных средств.

В связи с тем, что присвоение или растрата в сфере информационных технологий совершаются с использованием компьютерных программ, электронных документов, с неправомерным использованием электронной цифровой подписи, установлению подлежат записи операционной системы о действиях преступника в компьютерной программе, изменении, создании электронного документа. Также значение для расследования присвоения или растраты в сфере информационных технологий имеет информация о следах, представляющих собой записи в сфере электронного документооборота организации при направлении электронных документов с внесенными преступником изменениями. Связанной с указанными данными является информация о реквизитах электронного документа, к которым относится название, дата создания и изменения, размер, разрешение, место расположения электронного документа и иные сведения.

Исходя из изложенного, специфика следовой картины хищений в сфере информационных технологий заключается в механизме реализации способа совершения хищений в сфере информационных технологий и применении в качестве средств преступления видов высоких информационных технологий, в результате использования которых образуются традиционные следы и следы в компьютерной информационной сфере. Хищения в сфере информационных технологий затрагивают сферу имущественных и сферу информационных отношений, что отражается на свойствах всех элементов криминалистической характеристики указанных преступлений, в частности, на свойствах следовой картины хищений в сфере информационных технологий. Следовая картина хищений в сфере информационных технологий, обладающих смешанными признаками традиционных видов хищений и преступлений в сфере компьютерной информации, является одним из элементов, характеризующих указанные преступления как отдельную группу. В данной связи актуально исследование основных свойств следов хищений в сфере информационных технологий в целях их обнаружения, сбора и криминалистического исследования, формирования криминалистических рекомендаций по расследованию хищений в сфере информационных технологий и иных преступлений в указанной сфере.

Результаты настоящего исследования могут быть использованы в целях формирования модели криминалистического исследования следов хищений в сфере информационных технологий и иных преступлений, совершаемых с использованием программных продуктов и технических устройств сферы информационных технологий, а также в процессе расследования указанных групп преступлений.