Алаева Г.Т.,
к.ю.н., доцент кафедры «Юриспруденция и международное право»
Университет «Туран»
Республика Казахстан
Особенности развития
судебно-экспертного исследования средств компьютерных технологий в Республике
Казахстан
Аннотация.
Современное состояние мирового сообщества
характеризуется всеобъемлющим проникновением компьютерно-информационных
технологий в различные области человеческой деятельности: экономическую, социальную, управленческую и
другие. Массовая компьютеризация 1990
годов в Казахстане привела к развитию рынка компьютеров и программного
обеспечения, повышению профессиональной подготовки пользователей, увеличению
потребностей организации в применении
электронно-вычислительных машин, созданию локальных сетей и подключению к сетям
широкого Интернет-доступа. Все активнее
стали внедряться «безбумажные технологии» (например, 1С-бухгалтерия). Сейчас
можно утверждать, что темпы развития человечества определяются не доступной ему
энергией, а доступной ему информацией (стал популярным тезис «Кто владеет информацией, тот владеет
миром»).
Ключевые слова: экспертиза,
киберпреступления, производство, эксперт, методы, исследование.
Криминальные
структуры также приняли на вооружение современные информационные технологии для совершения высокотехничных
преступлений в обеспечении своей традиционной преступной деятельности.
С началом 90 годов все чаще
правоохранительные органы стали употреблять термин «компьютерные преступления».
Среди компьютерных преступлений можно
назвать попытки несанкционированного проникновения в системы банков, создание
криминальных баз данных (например, учет
поступивших нелегальных доходов, доходы от сводничества, фальсификация
документов), использование электронных средств доступа для снятия коммерческой
информации, хищений, присвоений, создание фиктивных фирм и
т.д.
Одним из эффективных средств борьбы
с преступностью в сфере современных информационных технологий является
привлечение специальных научных знаний в процессуальной форме назначения и
производства судебной экспертизы компьютерных технологий. Современное
состояние киберпреступности
предопределили актуализацию данного вида судебно-экспертной практики и необходимость создания и всестороннего
обеспечения экспертных подразделений для производства компьютерных экспертиз.
Судебная компьютерно-техническая
экспертиза сегодня находится в стадии активного формирования, однако
судебно-экспертные компьютерно-технические методики исследования еще требуют
своего развития и расширения в применении к требованиям правоохранительной
практики в сфере преступлений, связанной
с компьютерными устройствами
Первое время, как это часто бывает при
формировании нового рода судебных экспертиз, экспертные задачи, связанные с
исследованием компьютерных средств и программного обспечения решались
эпизодически, теперь уже производство компьютерно-технических экспертиз
достигает свыше ста экспертиз, при этом динамика их назначения и
производства положительная. Так в Инструкции по производству судебных
экспертизы и специализированных исследований в Центре судебной экспертизы Министерства юстиции Республики Казахстан
(далее –ЦСЭ) 2002 года данный вид исследования отсутствует [2]. На современном
этапе данный вид исследования включен в виды судебно-экспертных исследований,
проводимых в ЦСЭ в класс «Судебная технологическая экспертиза» вид «Судебно-экспертное
исследование средств компьютерной технологии» [3].
Судебно-экспертное исследование средств
компьютерных технологий находится в стадии становления, является формирующимся
родом судебной экспертизы. Методологические основы данного вида судебной
экспертизы заложены в трудах Т.В.
Аверьяновой, Е.Р. Россинской, Усова
А.И.[1].
Среди типовых задач, разрешаемых
производством судебных экспертиз в сфере компьютерных технологий можно
перечислить:
-определение вида, марки, свойств
компьютеров и программного обспечения;
-определение фактического состояния и
исправности;
-определение структуры механизма и
обстоятельства события по результатам исследования;
-определение свойств операционной системы;
-анализ данных файлов и программ.
В качестве объектов данной экспертизы
являются:
1) Аппаратные объекты:
-различные виды персональных компьютеров
(настольные, портативные, карманные и т.д.) с основными блоками (системные
блоки, мониторы), внутренними узлами, деталями, комплектующими и т.д. (далее –
ЭВМ);
-периферийные устройства различного вида и
назначения;
-сетевые аппаратные средства (северы,
рабочие станции, активное оборудование, сетевые кабели и т.д.);
-дисковые накопители данных (жесткие диски
HDD, флоппи-диски FDD, оптические компакт-диски CD-ROM, CD-RW, DWD-ROM,
флэш-карты USB).
2) Программные объекты:
-системное программное обеспечение
(различные операционные системы для персональных компьютеров и локальных сетей
MS-DOS, UNIX, Windows различных версий и т.д., вспомогательные программы –
утилиты, средства разработки и отладки программ, служебная системная информация
и т.д.);
-различные прикладные программные продукты
(приложения общего назначения: текстовые и графические редакторы, системы
управления базами данных, электронные таблицы, редакторы презентаций;
приложения специального назначения для решения задач в определенной области
науки, техники, экономики и т.д.).
3) Информационные объекты:
-файлы, подготовленные с использованием
указанных выше и других программных средств (с расширениями текстовых форматов
.txt, .doc, графических форматов .bmp, .jpg, .cdr, форматов баз данных .dbf,
.mdb, электронных таблиц .xls, .cal и др.).
-данные в форматах мультимедиа.
4) Объекты, содержащие информацию, необходимую
для производства экспертных исследований:
-различные документы (договоры на покупку,
создание (передачу) научно-технической продукции; акты сдачи-приема
научно-технической продукции; калькуляции стоимости предпродажной подготовки
компьютерной техники и периферийных устройств и пр.);
-сопроводительная документация к
поставляемой на исследование компьютерной, вычислительной технике (периферийным
устройствам, магнитным носителям), различные справочные данные, инструкции
пользователя, а также материалы дел.
В рамках судебной экспертизы средств
компьютерных технологий решаются задачи
диагностического, классификационного, идентификационного и ситуационного
характера путем разрешения следующих вопросов:
1) По аппаратным средствам:
-каковы технические характеристики
представленной компьютерной техники;
-возможно ли использование представленного
технического комплекса для осуществления тех или иных функциональных задач
(например, выхода в Интернет, запись компакт-дисков);
-каковы ориентировочные даты создания вычислительного
комплекса с заданными возможностями и даты изготовления его отдельных блоков.
2) По программным продуктам:
-какая операционная система установлена в
представленном системном блоке;
-соответствует ли установленная в
представленном системном блоке операционная система лицензионно выпущенной
продукции;
-имеется ли в представленном системном
блоке установленное программное обеспечение (указывается название);
-находится ли данное программное
обеспечение в работоспособном состоянии;
-каковы дата и время установки
программного обеспечения (указывается название);
-имеются ли в предоставленных системных
блоках программы, приводящие к неправомерному доступу к охраняемой законом
компьютерной информации, внесению изменений в существующие программы, заведомо
приводящих к несанкционированному уничтожению, блокированию, модификации либо
копированию информации, нарушению работы ЭВМ;
-каковы основные функции представленного
программного обеспечения;
-каково назначение представленных программ
для ЭВМ;
-возможно ли осуществление заданного вида
деятельности с использованием представленных технических средств и размещенного
на нем информационного и специального программного обеспечения (запись
компакт-дисков, подготовка и изготовление поддельных денежных знаков).
3) По информационным объектам:
-имеется ли на представленном магнитном
диске или в составе технических средств вычислительной техники необходимое
информационное обеспечение для решения какой-либо конкретной функциональной
задачи;
-имеются ли на представленных магнитных
носителях файлы с документами, относящимися к той или иной сфере деятельности
(файлы с изображениями денежных знаков, бланками юридических лиц и оттисками
печатей);
-имеются ли на представленных магнитных
носителях ранее удаленные файлы (указываются названия);
-имеются ли на магнитном носителе
какая-либо информация, если да, то каков вид ее представления;
-каковы дата и время создания файлов
(указываются названия).
От результативности производства
судебно-экспертных исследований средств
компьютерных технологий во многом
зависит эффективность и оперативность расследования преступлений в сфере
компьютерных технологий.
При расследовании преступлений в сфере
компьютерных технологий желательно участие специалиста, т.к. малейшее
неквалифицированное действие с компьютерной системой зачастую
заканчивается безвозвратной утерей
информации. Необходимо также определить схему отключение электроснабжения
учреждения, производить манипуляции за компьютером, устнановив мето
расположения серверов, изъятие системных блоков должнол исключать возможность
их повреждений, включения в сеть и разборки.
Являясь относительно новым видом
судебно-экспертной практики, судебно-экспертное исследование средств компьютерных технологий испытывает
ряд трудностей, связанных с процессом формирования научно-методической базы
осуществления производства компьютерно-технических экспертиз, а именно:
Отсутствие достаточно квалифицированных
судебных экспертов в области компьютерной информации. Имеет место парадокс –
хороший программист не всегда становится хорошим судебным экспертом и наоборот.
В связи с недостаточным количеством
квалифицированных экспертных кадров и ростом назначения экспертиз их
производство занимает продолжительное время. В большинстве случаев заключение
эксперта не изучается в полном объеме, а изучаются только выводы.
Выводы судебного эксперта часто
оспариваются в суде путем привлечения стороной защиты высококвалифицированного
специалиста в области программного обеспечения, и если судебный эксперт имеет
низкую квалификационную подготовку, то он не сможет отстоять свои выводы в
состязании со специалистом.
Если судом будут высказаны в сомнения в
части выводов эксперта, то возможно, что назначение повторной экспертизы может
быть неосуществимо в связи с тем, что
при производстве первичной экспертизы, исследуемые программные системы после
вскрытия изменены и уже не могут выступать в качестве исходных (тех же) при
производстве повторных экспертиз.
В
связи со сложностью технического оснащения судебная экспертиза средств
компьютерной технологии не относится к лицензированным видам судебных экспертиз, по этой причине
невозможно привлечение в процесс лицензированных судебных
экспертов-компьютерщиков.
Обращение к частным специалистам
компьютерных систем, специализирующихся в информационной безопасности чревато
тем, что не смотря на то, что специалисты имеют высокую квалификацию, но
слабо разбираются в процессуальных
вопросах, в частности, надлежащего оформления производства и результатов
экспертиз, а стоимость полного исследования информации, содержащейся только в
одном персональном компьютере значительна и не всегда соответствует возможному
ассигнованию бюджета правоохранительными органами и судами.
Применительно к компьютерной технике,
эксперт обязан обеспечить неизменность содержимого жестких дисков и иных
носителей информации в исследуемых компьютерах. Только при соблюдении этого
условия выводы эксперта могут быть проверены при необходимости повторной
экспертизой. Если же речь идет о компьютерах, используемых в криминальных
целях, то на них вообще может быть установлена специальная программа для
уничтожения информации. При включении такого компьютера без особых
предосторожностей содержимое его жёсткого диска может измениться до такой
степени, что не будет представлять уже никакой ценности для следствия и суда.
Поэтому эксперт обязан позаботиться о
сохранении всех исследуемых носителей информации в неизменяемом состоянии. Эта
цель может быть достигнута как технологически, так и физическими методами. При
этом могут быть восстановлены файлы, распакованы архивы, снят пароль с
подвернувшейся базы данных…то есть, в ходе исследования происходит то самое «изменение
внешнего вида или основных свойств» исследуемого объекта. Аналогичные ошибки
зачастую допускают и «независимые» эксперты, приглашенные сторонами процесса
либо правоохранительными органами.
В тоже время, при изготовлении заключения
эксперта имеются очень серьезные нюансы: сотрудники государственных экспертных
учреждений в совершенстве знают процессуальную сторону дела и имеют весьма
ценный опыт защиты своих выводов непосредственно в судебном заседании.
Специалисты же из негосударственных структур, хотя и обладают более высокой
квалификацией в области компьютерных систем, не уделяют достаточного внимания
ни процессуальному оформлению своих заключений, ни выступлению в суде.
В ходе допроса суд имеет возможность, как
проверить квалификацию эксперта, так и получить дополнительную информацию, не
вошедшую в заключение. Однако, неготовые к допросам в суде, привлеченные в
качестве судебных экспертов в разовом порядке специалисты часто становятся
легкой добычей адвокатов стороны защиты. Опытному адвокату с большим стажем
выступлений в суде обычно не составляет труда запутать и подавить человека,
никогда в суде ранее не выступавшего.
Целесообразно не только организовать
качественную экспертизу компьютерных систем, как по уголовным, так и по гражданским
делам на базе негосударственных учреждений, специализирующихся в области
информационной безопасности, но и вернуться к вопросам специализации
следователей и судей (предварительное и судебное следствие должно проводиться
лицами, имеющими опыт в области программного обеспечения и компьютерных
систем). Разумеется, такой подход предполагает усиление внимания к правовой
стороне вопроса, в частности обязательное сертифицирование экспертной
деятельности и обучением специалистов.
С учетом важности и значимости развития и совершенствования судебной
компьютерно технической экспертизы в октябре 2012 года в Центре судебной
экспертизы Министерства Юстиции РК был проведен семинар «Судебно-экспертное
исследование средств компьютерной технологии».В ходе семинара рассмотрены
процессуальные, организационные, методические и учебно-методические аспекты
компьютерной экспертизы; особенности организации и выполнения отдельных видов
экспертных исследований, их возможности и перспективы развития.
Участниками семинара, главными судебными
экспертами территориальных подразделений Центра судебной экспертизы, были
доложены в своих выступлениях актуальные проблемы практики производства
судебно-экспертных исследований средств компьютерной технологии, возникающие
при производстве компьютерных экспертиз и пути их решения, особенности
назначения компьютерных экспертиз в подразделениях Центра.
В качестве проблем, требующих своего
разрешения, были обозначены следующие:
1. Отсутствие методики судебно-экспертного
исследования средств компьютерной технологии, утвержденной в Республике
Казахстан.
2. Низкая техническая оснащенность
судебно-экспертного исследования средств компьютерной технологии.
3. Несоответствие названия «судебно-экспертное
исследование средств компьютерной технологии» фактическому содержанию
исследования.
Для преодоления трудностей и в целях
дальнейшего усовершенствования судебно-экспертной деятельности в сфере
производства судебно-экспертных исследований
средств компьютерных технологий
в РК были выработаны рекомендации:
1.Организовать обучение экспертов,
специализирующихся в области компьютерной экспертизы, для повышения
квалификации с обязательством последующего создания методик судебной экспертизы
компьютерных средств.
2. Подготовить обоснование внесения
изменений в Приказ Министра юстиции Республики Казахстан от 20 июля 2010 г. «Об
утверждении Перечня видов работ, входящих в состав судебно-экспертной
деятельности, лицензируемой Министерством юстиции Республики Казахстан» с
указанием необходимости выделения данного вида экспертизы в самостоятельный род
судебных экспертиз. При этом, предлагается отнести ее к роду: судебной
экспертизы компьютерных средств; к классу: инженерно-технических; и разделения
по видам:
- Судебно-экспертное исследование
аппаратных средств;
- Судебно-экспертное исследование
программных продуктов;
- Судебно-экспертное исследование цифровой
информации;
- Судебно-экспертное исследование
компьютерных сетей.
3.Организовать взаимодействия с
правообладателями программного обеспечения Microsoft, Adobe, 1C, Бука, AutoDesk
с возможностью дальнейшего обучения, повышения квалификации, проведения
лекционных занятий, организации «круглых столов».
4. Усилить материально-техническое
оснащение компьютерной экспертизы современными компьютерными средствами и
программынм обеспечением.
Реализация указанных рекомендаций,
несомненно, будет способствовать дальнейшему развитию судебно-экспертных
исследований средств компьютерных
технологий в республике, эффективному и
оперативному раскрытию преступлений, защите прав и свобод граждан Казахстана.
Список
использованной литературы:
1.
Россинская Е.Р., Усов
А.И. Судебная компьютерно-техническая экспертиза. - М.: Право и закон, 2001. - 416
с.
2.
Инструкция по
производству судебных экспертизы и специализированных исследований в Центре
судебной экспертизы МЮ РК № 158 от 24.10.2002 - Алматы. Жеты жаргы, 2002-372с
3.
http://www.sudexpert.kz/ru/experttypes.html
Summary
The
article highlights the problem of rising crime in the field of computer
technology, and therefore, there is updating of the formation and development
of a new type of forensic activities - forensic examination of computer
technology, we examined the ability to resolve problems in the production of
the forensic examination, determined problems of its production.