Компьютерные преступления, их общая криминалистическая характеристика и важнейшие факторы, влияющие на компьютерную безопасность

С появлением современных средств вычислительной техники и телекоммуникаций традиционные преступления – воровство, мошенничество, шпионаж, вымогательство – трансформировались в новые формы. Кроме того, появились специфические для компьютерных систем и сетей преступления. Намечается тенденция к использованию информационных технологий организованными преступными группами и распространение их деятельности на межгосударственный уровень. Сотрудники правоохранительных органов при раскрытии и расследовании компьютерных преступлений неизбежно сталкиваются с большими трудностями, так как преступления в сфере компьютерной обработки информации характеризуются скрытностью, трудностями сбора улик по установлению фактов их совершения, сложностью доказывания в суде. Субъекты преступлений – это, как правило, высококвалифицированные программисты, инженеры, специалисты в области телекоммуникационных систем, банковские работники, бывшие сотрудники спецслужб.

Есть основания утверждать, что при переходе цивилизации к информационному обществу все большее количество преступлений будет совершаться в информационной сфере. Мировое сообщество крайне озабочено состоянием защиты национальных информационных ресурсов в связи с расширением доступа к ним через различные открытые информационные сети.

Под информационной системой понимают организованную совокупность информационных технологий, объектов и отношений между ними, образующую единое целое.

Под автоматизированной системой обработки информации принято понимать организационно-техническую систему, состоящую из следующих взаимосвязанных элементов:

- средства вычислительной техники и связи;

- программное обеспечение;

- информация, хранящаяся на различных носителях;

- персонал и пользователи системы.

Интерес к вопросам сохранности компьютерной информации, защиты ее от случайного и преднамеренного уничтожения, повреждения и несанкционированного получения появился, когда ПК стали широко применяться в экономической, социально-политической и оборонной областях. В автоматизированных системах можно скрытно получить доступ к информационным архивам, которые концентрируются в одном месте в больших объемах. Кроме того, появилась возможность дистанционного получения информации через терминалы. Поэтому для ее защиты требуются принципиально новые методы и средства, разработанные с учетом ценности информации, условий работы, технических и программных возможностей ПК и других средств сбора, передачи и обработки данных.

Несанкционированным доступом к информации персонального компьютера будем называть незапланированное ознакомление, обработку, копирование, применение различных вирусов, в том числе разрушающих программные продукты, а также модификацию или уничтожение информации в нарушение установленных правил разграничения доступа.

Для успешной борьбы с подобным видом преступной деятельности следует тщательно изучать ее особенности, хорошо знать виды неправомерного доступа к информации, создания и использования вредоносных программ для ПК в сетях телекоммуникаций и т. д.

Надо также иметь в виду, что современные системы связи (сотовые, транковые, проводные на основе АТС, радиотелефонные удлинители и др.) рассматриваются не только как собственно системы связи, но и как ПК или составляющие элементы системы ПК, то есть как телекоммуникационные системы, к которым, например, можно отнести:

- отдельные составляющие систем связи – как периферийные устройства ПК, системы ПК (сотовый телефон, базовая станция сотовой или транковой сети, радиотелефонный удлинитель, процессор электронной АТС и т. д.);

- носители информации управляющего компьютера сотовой системы, ПЗУ или РТС-контроллер в сотовой или трубке радиоудлинителя – как носители компьютерной информации на машинных носителях;

- программы функционирования управляющих компьютеров систем связи (управляющего компьютера сотовой системы), процессоров сотовых телефонов или радиотелефонных удлинителей – как компьютерные программы;

- телефонные номера, коды доступа, идентификации абонента, сигналы управления и сигнализации (сигналы запроса аппаратуры автоматического определения телефонного номера) – как компьютерная информация.

Таким образом, стандартность архитектурных принципов построения, оборудования и программного обеспечения персональных компьютеров, высокая мобильность программного обеспечения и ряд других признаков определяют сравнительно легкий доступ профессионала к информации, находящейся в ПК. Если персональным компьютером пользуется группа пользователей, то может возникнуть необходимость в ограничении доступа к информации различных потребителей.

Элементами криминалистической характеристики компьютерных преступлений (по Р.С. Белкину) являются: типичные следственные ситуации; характеристика личности преступника; способ совершения преступления; обстановка преступления; типичные материальные следы преступления; способ сокрытия преступления.

Итак, под криминалистической характеристикой компьютерных преступлений будем понимать совокупность наиболее характерной, криминалистически значимой взаимосвязанной информации о признаках и свойствах такого рода преступлений, способную служить основанием для выдвижения версий о событии преступления и личности преступника, позволяющую верно оценить ситуации, возникающие в процессе раскрытия и расследования компьютерных преступлений, обусловливающую применение соответствующих криминалистических методов, приемов и средств.

Следовательно, криминалистическая характеристика компьютерных преступлений включает в себя: способы совершения, особенности непосредственного предмета преступного посягательства, особенности следовой информации, личностную характеристику преступника, особенности обстановки совершения преступления (место, время и др.).

В связи с происходящими изменениями в области информатизации определение предмета преступного посягательства требует нового научного подхода, то есть предметом преступления в контексте данного явления будет информация в виде программных средств и файлов данных.

Следует отметить, что вероятность несанкционированного доступа к системе возрастает при ее перегрузках, которые возникают, например, при массовом подключении к ней пользователей (в начале рабочего дня). Так, нарушители способны создать сходную ситуацию, направляя в систему поток сообщений, которые она не в состоянии корректно обработать. В результате создается открытый канал передачи данных, через который возможен несанкционированный доступ. Под каналом передачи данных при этом понимаются средства двухстороннего обмена данными, представляющие собой совокупность аппаратуры окончания канала данных и линии передачи данных.

В криминалистике способ совершения преступления представляет собой систему взаимообусловленных, подвижно детерминированных действий, направленных на подготовку, совершение и сокрытие преступления, связанных с использованием соответствующих орудий и средств, а также времени, места и других способствующих обстоятельств объективной обстановки совершения преступления.

В литературе описывается множество способов совершения компьютерных преступлений в зависимости от классификации информации, вида машинных носителей, подключения или неподключения к сети и т. д. Так, рабочей группой Интерпола в 1991 г. разработан и встроен в автоматизированную поисковую систему запросов следующий классификатор компьютерных преступлений:

Каждая группа, в свою очередь, разбита на подгруппы:

QA

QAH – «компьютерный абордаж» (хакинг): несанкционированный доступ в компьютер или компьютерную сеть;

QAI – перехват: несанкционированный перехват информации при помощи технических средств, несанкционированные обращения в компьютерную систему или сеть как из нее, так и внутри компьютерной системы или сети;

QAT – кража времени: незаконное использование компьютерной системы или сети с намерением неуплаты;

QAZ – прочие виды несанкционированного доступа и перехвата.

QD

QDL – «логическая бомба»: неправомерное изменение компьютерных данных путем внедрения «логической бомбы»;

QDT – «троянский конь»: неправомерное изменение компьютерных данных путем внедрения «троянского коня»;

QDV – вирус: изменение компьютерных данных путем внедрения или распространения компьютерного вируса;

QDW – «червь»: несанкционированное изменение компьютерных данных или программ путем передачи, внедрения или распространения компьютерного «червя» в компьютерной сети;

QDZ – прочие виды изменения данных.

QF

QFC – компьютерные мошенничества с банкоматами, связанные с хищением из них наличных денег;

QFF – компьютерные подделки: мошенничества и хищения из компьютерных систем путем создания поддельных устройств (карточек и т. д.);

QFG – мошенничества и хищения, связанные с игровыми автоматами;

QFM – манипуляции с программами ввода-вывода: мошенничества и хищения посредством неверного ввода в компьютерные системы или вывода из них путем манипуляции программами;

QFP – компьютерные мошенничества и хищения, связанные с платежными средствами;

QFT – телефонное мошенничество: доступ к телекоммуникационным услугам путем посягательства на протоколы и процедуры компьютеров, обслуживающих телефонные системы;

QFZ – прочие компьютерные мошенничества.

QR

QRG/QRS – незаконное копирование, распространение или опубликование компьютерных игр и другого програм-много обеспечения;

QRT – незаконное копирование защищенной законом топографии полупроводниковых изделий; незаконная коммерческая эксплуатация либо импорт с этой целью топографии или самого полупроводникового изделия, произведенного с использованием данной топографии;

QRZ – прочее незаконное копирование.

QS

QSH – саботаж с использованием аппаратного обеспечения: ввод, изменение, стирание, подавление компьютерных данных или программ либо вмешательство в работу компьютерных систем с намерением нарушить функционирование компьютерной (телекоммуникационной) системы;

QSS – компьютерный саботаж программы: несанкционированное стирание, повреждение, ухудшение или подавление компьютерных данных или программ;

QSZ – прочие виды саботажа.

QZ

QZB – электронные доски объявлений (BBS): использование BBS для хранения, обмена и распространения материалов, имеющих отношение к преступной деятельности;

QZE – хищение информации, представляющей собой коммерческую тайну (компьютерный шпионаж): приобретение незаконными средствами или передача информации, представляющей собой коммерческую тайну, с намерением причинить экономический ущерб или получить незаконные экономические преимущества;

QZS – материал конфиденциального характера: использование компьютерных сетей или систем для хранения, обмена, распространения или перемещения информации конфиденциального характера;

QZZ – прочие компьютерные преступления.

Ссылаясь на Уголовный кодекс Российской Федерации, ученые подразделяют личности компьютерных преступников на несколько категорий, куда входят лица:

- осуществляющие неправомерный доступ к компьютерной информации в группе по предварительному сговору или организованной группой;

- осуществляющие неправомерный доступ к компьютерной информации с использованием своего служебного положения;

- имеющие доступ к ПК, но осуществляющие неправомерный доступ к компьютерной информации или нарушающие правила эксплуатации ПК;

- создающие, использующие и распространяющие вредоносные программы.

Исследователи также выделяют следующие типы компьютерных преступников:

- лица, отличительной особенностью которых является устойчивое сочетание профессионализма в области компьютерной техники и программирования с элементами своеобразного фанатизма и изобретательности (так называемые хакеры и крекеры);

- лица, страдающие новой разновидностью психической неполноценности – информационными болезнями или компьютерными фобиями (игроманы; работающие за компьютером длительное время; страдающие информационными перегрузками и т. д.);

- профессиональные компьютерные преступники с ярко выраженными корыстными целями.

К наиболее опасным преступникам ученые относят хакеров и крекеров.

Хакеры – компьютерные хулиганы, проникающие в память чужих компьютеров с помощью своих, подключенных по телефонным каналам к сетям передачи данных. При этом преследуются разнообразные цели: от любопытства и удовлетворения тщеславия до получения конкретной выгоды. Одним из основных внешнеповеденческих отличительных признаков хакерства является безразличие ко всему, что не имеет непосредственного отношения к работе с компьютером. У хакеров атрофирована установка на конечный результат, их не интересует полезность и возможность передачи продукта их деятельности в общественное пользование. Вследствие этого они игнорируют общественные интересы и проявляют «компьютерный снобизм». Для хакеров характерна симптоматика бегства от реальности.

Под внешнеповеденческими признаками лиц, обладающих общим для них отличительным признаком, понимается совокупность признаков внешности человека (анатомических, функциональных), речевых свойств, эмоциональных признаков, выраженных индивидуально-типологических особенностей (темперамент, характер).

Мотивы поступков различны, как правило, это хулиганские побуждения, реже – исследовательский интерес.

Крекеры – компьютерные «террористы», создающие программы-вирусы и специализирующиеся на проникновении в компьютерные сети и системы с целью овладения конфиденциальной информацией. Являясь программистами очень высокого класса (в отличие от хакеров), они могут стереть или изменить данные в соответствии со своими интересами. В социальном плане крекеры инфантильны, безответственны.

Мотивами поступков крекеров может быть мщение за нанесенную им обиду, попытка дезорганизовать вычислительные системы своих конкурентов или авторская защита программных продуктов от несанкционированного копирования и распространения.

Общими признаками для указанных подгрупп являются:

- завышенная оценка своих профессиональных и, как следствие, интеллектуальных способностей;

- использование специфического жаргона не только в кругу специалистов, но и при повседневном общении;

- отсутствие интереса к обычной жизни и др.

Для рассмотренных подгрупп следует указать особенности, свидетельствующие о совершении компьютерного преступления лицами, входящими в них:

- отсутствие целеустремленной, продуманной подготовки к преступлению;

- оригинальность способа совершения преступления;

- непринятие мер к сокрытию преступления;

- совершение на месте происшествия действий, которые условно можно назвать озорными, выходящими за рамки принятых норм.

Под обстановкой совершения преступления понимают систему различного рода взаимодействующих между собой объектов, явлений и процессов, характеризующих условия места и времени, вещественные, физико-химические, метеорологические и иные условия окружающей среды, производственные факторы, особенности поведения участников события, не имеющих прямого отношения к нему, и другие обстоятельства объективной реальности, сложившиеся (независимо или по воле участников) в момент преступления, влияющие на способ его совершения и проявляющиеся в следах, позволяющих судить об особенностях этой системы и содержании преступного события.

Способ совершения компьютерного преступления будет определяться наиболее характерными составляющими обстановки:

- местом и временем действия преступника (преступников);

- особенностью компьютеризации субъекта хозяйствования;

- особенностями организации информационной безопасности;

- возможностями нарушения целостности компьютерной информации без непосредственного участия человека;

- уровнем квалификации специалистов, обеспечивающих защиту информации, а также администрирование компьютеров и их сетей.

Рассматривая важнейшие факторы, влияющие на компьютерную безопасность, обратимся к Доктрине информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации 9 сентября 2000 г., где определены следующие угрозы информационной безопасности информационных и телекоммуникационных систем, а именно:

- противоправный сбор и использование информации;

- нарушение технологии обработки информации;

- внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;

- разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации:

- уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникаций и связи;

- воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;

- компрометация ключей и средств криптографической защиты информации;

- утечка информации по техническим каналам;

- внедрение электронных устройств для перехвата информации в технических средствах обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от форм собственности;

- уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;

- перехват информации в сетях передачи данных и на каналах связи, дешифрование этой информации и навязывание ложной информации;

- использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникаций и связи при создании и развитии российской информационной инфраструктуры;

- несанкционированный доступ к информации, находящейся в банках и базах данных;

- нарушение законных ограничений на распространение информации.

Под доступом к информации в нашем случае будем понимать ознакомление с информацией или получение возможности ее обработки.

Под угрозой следует понимать реально существующую либо потенциальную опасность случайного или умышленного нарушения информационной безопасности. Это обстоятельства или события, которые могут явиться причиной нанесения ущерба интересам личности, общества или государства.

Раскрывая направления деятельности по обеспечению информационной безопасности, ряд авторов предлагают различное толкование информационных угроз в зависимости от факторов, влияющих на защиту информации. К ним, например, относятся: интересы государства и общества, экономические, организационно-технические факторы, которые, в свою очередь, группируются в глобальные, региональные и локальные факторы угроз.

Таким образом, обобщенный перечень угроз информационной компьютерной безопасности включает в себя следующие группы факторов:

1. Антропогенные угрозы (противозаконная деятельность криминальных структур, нарушителей, недобросовестных партнеров, конкурентов, отдельных работников организаций и т. п.).

2. Техногенные угрозы (некачественное оборудование, программное обеспечение и средства защиты, средства связи, охраны, сигнализации, иные применяемые технические средства, а также опасные производства, транспорт и т. д.).

3.   Стихийные угрозы (землетрясения, цунами, затопления, ураганы, иные природные явления).

Необходимо отметить, что есть два вида несанкционированного доступа к услугам телекоммуникационных сетей – технологический и административный.

Технологический характеризуется использованием нелегальными абонентами технического оборудования, аналогичного работающему в системе связи. Такая аппаратура опознается как существующий абонент со всеми вытекающими последствиями, например, по оплате услуг, когда  абоненту системы приходится оплачивать временной ресурс, потраченный нелегальным абонентом. Иногда несанк-ционированный доступ происходит без идентификации абонента, путем технологического «обмана» аппаратуры.

Административный доступ характеризуется использованием ресурсов телекоммуникационной системы связи без неправомерного технического доступа в систему. Как правило, это отказ от оплаты услуг под различными предлогами. Данный вид процветает при существовании развитой системы кредитования услуг.

В заключение отметим, что анализ криминалистической характеристики компьютерных преступлений позволяет предположить, что наибольшую значимость имеет осмотр на месте совершения компьютерного преступления:

- персональных компьютеров, серверов, устройств резервного копирования, сетевых аксессуаров;

- журналов регистрации событий защиты операционных систем и баз данных;

- документации по регламенту;

- выходной печатной документации.

Следует учитывать, что осмотр места происшествия, являясь важным источником информации, используемой для построения версий при расследовании компьютерных преступлений, не должен обладать заранее установленным приоритетом перед другими следственными действиями, так как для построения и проверки версий возможно использование фактических данных, получаемых в результате проведения иных следственных действий и оперативно-розыск-ных мероприятий.