Прокурорский надзор за расследованием преступлений в сфере компьютерной информации
При осуществлении прокурорского надзора за расследованием преступлений в сфере компьютерной информации прокурору необходимо руководствоваться не только положениями уголовно-процессуального законодательства, но и требованиями приказа Генерального прокурора Российской Федерации от 02.06.2023 № 162 «Об организации прокурорского надзора за процессуальной деятельностью органов предварительного следствия».
Учитывая сложность расследования преступлений в сфере компьютерной информации, уже отмечавшуюся низкую квалификацию следственных работников, необходимость применения при расследовании специальных знаний, прокурорский надзор за расследованием данных преступлений должен осуществляться на протяжении всего периода расследования.
С целью предотвращения нарушений и затягивания сроков следствия прокурору необходимо осуществлять постоянное взаимодействие с руководителем следственного органа, привлекая прокурора, который в последующем будет поддерживать государственное обвинение в судебном заседании.
Организовать такое взаимодействие возможно в виде совместных оперативных совещаний по обсуждению хода следствия при прокуроре, проводимых как при принятии важных процессуальных решений по уголовному делу, например, при оценке достаточности доказательств для предъявления обвинения, при назначении экспертиз и обсуждении их выводов для последующего планирования расследования, при окончании предварительного следствия, при рассмотрении поступающих к прокурору жалоб и заявлений.
Более того, во многих субъектах Российской Федерации изданы межведомственные приказы и иные нормативные документы, регулирующие порядок взаимодействия при расследовании уголовных дел между следственными органами и прокурорами. Это позволяет избежать многих нарушений и недостатков предварительного расследования, которые, в свою очередь, могут повлечь за собой возвращение уголовного дела прокурором для дополнительного расследования или судом прокурору в порядке ст. 237 УПК РФ.
Учитывая особенности рассматриваемой категории преступлений, прокурору следует тщательно изучать собранные в ходе предварительного расследования доказательства, которые должны в полной мере устанавливать все обстоятельства, предусмотренные ст. 73 УПК РФ.
Специфика преступлений в сфере компьютерной информации обуславливает необходимость проведения по уголовным делам данной категории ряда специальных судебных экспертиз. В связи с этим важно осуществлять прокурорский надзор уже на первоначальном этапе расследования.
Изучая в процессе расследования уголовное дело, прокурор должен установить, в полной ли мере данные экспертные заключения отвечают на поставленные следователем вопросы, все ли необходимые вопросы поставлены перед экспертом и достаточно ли в конечном итоге информации, содержащейся в заключении эксперта, для подтверждения обстоятельств совершения преступления.
Так, при расследовании преступлений данной категории помимо традиционных видов экспертиз (криминалистической, дактилоскопической и т.д.) должны проводиться специальные судебные экспертизы – информационно-технологическая и информационно-техническая. Объединяет эти виды судебных экспертиз компьютерная информация, исследуемая, однако, с разных сторон – технологической либо технической. Различаются они и по непосредственным объектам исследования.
Проведение указанных судебных экспертиз необходимо для исследования собственно информационно-технологических процессов сбора (накопления, хранения, поиска, актуализации, распространения) информации и представления ее потребителю в условиях функционирования автоматизированных информационных систем и сетей и отдельно взятых технических и иных средств обеспечения этих процессов.
К подобным техническим средствам относятся компьютерные устройства, включающие в себя системный блок, устройство внешней памяти, устройства ввода и вывода информации, периферийные устройства, а также средства связи и телекоммуникации. К иным средствам следует отнести программы для компьютеров. Эти средства, обеспечивающие обработку информации, и составляют основу информационно-компьютерной технологии.
Объектом информационно-технологической экспертизы является установленный порядок обработки информации, осуществляемый по заданным алгоритмам, или информационная технология, основанная на применении современной информационно-вычислительной техники, средств связи и телекоммуникаций, составляющих основу информатизации общества.
Непосредственными предметами информационно-технологической экспертизы могут быть:
проектная документация на разработку и эксплуатацию компьютерных систем и сетей, отражающая процессы сбора, обработки, накопления, хранения, поиска и распространения информации;
документированная информация (документ), то есть зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать (отдельные документы и массивы документов в информационных системах), в том числе конфиденциальная информация;
материалы сертификации информационных систем, технологий и средств их обеспечения и лицензирования деятельности по формированию и использованию информационных ресурсов;
приказы и распоряжения администрации, инструкции, протоколы, договоры, положения, уставы и методики по эксплуатации компьютерных систем и сетей, отражающие порядок формирования информационных массивов и доступа к ним (важнейшими из этих предметов исследования могут быть должностные инструкции сотрудников соответствующих информационных подразделений);
схемы движения информации от источников к потребителю с указанием пунктов ее сбора, контроля, накопления, обработки и использования;
табель распределения выходных данных (перечень пользователей с указанием периодичности, объема и сроков поступления информации), а также другие документы, позволяющие наиболее полно раскрыть сущность информационной технологии данной компьютерной системы или сети (они обычно прилагаются к техническому заданию на их разработку);
входные и выходные документы, установленные для данной автоматизированной информационной системы;
словари, тезаурусы и классификаторы;
иные эксплуатационные и сопроводительные документы (особое значение для расследования компьютерных преступлений имеют журналы и другие виды учета работы операторов, регистрации сбойных ситуаций и обращений в компьютерную систему или сеть).
Несомненно, что все указанные документы должны быть изъяты своевременно и с соблюдением установленных законом норм. На необходимость этого прокурор должен обращать внимание следователя (в том числе на межведомственных оперативных совещаниях при обсуждении хода расследования уголовного дела), ориентируя последнего на соблюдение разумных сроков уголовного судопроизводства, установленных ст. 61 УПК РФ.
Информационно-технологическая экспертиза назначается в тех случаях, когда для возникающих в ходе расследования вопросов требуются специальные познания в технологии информационных процессов.
Возможности этой экспертизы достаточно широки. С ее помощью можно определить:
соответствие существующего технологического процесса компьютерной обработки информации проектной и эксплуатационной документации на конкретную информационную систему либо сеть;
конкретные отклонения от установленной информационной технологии, а также непосредственных исполнителей, допустивших нарушение установленной информационной технологии;
надежность организационно-технологических мер защиты компьютерной информации;
вредные последствия, наступившие из-за неправомерного нарушения установленной технологии компьютерной обработки информации;
обстоятельства, способствовавшие преступному нарушению технологии электронной обработки информации.
Изучая заключение информационно-технологической экспертизы, прокурору следует обратить внимание на то, выяснено ли следователем:
соответствие процессов сбора, обработки, накопления, хранения, поиска и распространения информации установленной проектной и эксплуатационной документации информационной технологии в данной компьютерной системе или сети;
какие конкретно отклонения от нее допущены;
кем нарушены технологические требования в процессе эксплуатации данной компьютерной системы или сети;
кто из должностных лиц должен был обеспечить соблюдение установленной технологии электронной обработки данных;
какие организационно-технологические меры защиты компьютерной системы, предусмотренные эксплуатационной документацией, были приняты;
какие вредные последствия связаны с нарушением установленной технологии электронной обработки информации;
является ли указанное отклонение от технологии обработки данных причиной наступивших последствий;
каковы причины нарушения установленной обработки компьютерной информации;
какие меры необходимо принять для их устранения.
Объектом информационно-технической экспертизы является техническое обеспечение информационной безопасности компьютерных систем и сетей.
Предметы информационно-технической экспертизы очень разнообразны. Иными словами, это инструменты, c помощью которых осуществляется доступ к информационным технологиям.
Условно их можно разделить на три основные группы:
1) технические средства обработки информации;
2) машинные носители информации и машинограммы, создаваемые средствами вычислительной техники;
3) программные средства и базы данных.
К первой группе относятся: компьютеры, отдельные узлы, устройства ввода и вывода информации; печатающие устройства (принтеры); периферийные устройства; устройства для связи между пользователями (модемы и факс-модемы); технические устройства и приспособления, специально разработанные для обхода средств защиты компьютерных систем и сетей от несанкционированного доступа; технические средства защиты информации и другие устройства.
Ко второй группе относятся: накопители на жестких дисках («винчестеры»); накопители на гибких магнитных дисках (дискеты); устройства для быстрого сохранения всей информации, находящейся на жестком диске (стримеры); оптические диски; пластиковые карты; аудио- и видеокассеты и другие носители информации, обрабатываемые компьютерами.
К третьей группе относятся программы для электронных вычислительных машин и базы данных.
Следует отметить, что исходя из анализа предметов указанных двух экспертиз, каждая из них имеет свои характерные особенности.
Информационно-техническая экспертиза назначается в том случае, когда в ходе следствия возникает необходимость в специальных исследованиях непосредственно технической части (отдельных узлов, блоков, периферийных устройств, оборудования, составляющих компьютерные системы или сети, пластиковых карт, дисков, дискет, других носителей информации, обрабатываемых компьютерами, а также программных средств).
К ее основным задачам относятся:
определение технического состояния компьютерного оборудования и пригодности его для решения задач, предусмотренных проектной и эксплуатационной документацией на данную автоматизированную систему;
техническое исполнение конкретных технологических информационных процессов и отдельных операций, ставших предметом предварительного следствия, установление конкретного терминала, с которого совершен несанкционированный доступ в данную компьютерную систему или сеть;
восстановление содержания поврежденных информационных массивов, отдельных файлов на магнитных носителях;
выявление технических причин сбойных ситуаций в работе компьютера;
установление подлинности информации, записанной на машинных носителях (дисках, дискетах, пластиковых картах), и внесенных в них изменений;
выявление в компьютерной программе разного рода неправомерных изменений, дополнений, вставок преступного характера;
установление вида компьютерного вируса, источника его проникновения в исследуемую систему и причиненных им вредных последствий;
установление соответствия средств защиты информации от несанкционированного доступа и проникновения компьютерного вируса сертификационным требованиям.
Изучая заключение информационно-технической экспертизы, прокурору необходимо выяснить, установлено ли:
техническое состояние компьютерного оборудования и его пригодность для решения в полном объеме задач, предусмотренных проектной и эксплуатационной документацией на данную компьютерную систему или сеть;
с какого терминала и по каким средствам связи и телекоммуникации мог быть совершен несанкционированный доступ в компьютерную систему или сеть;
возможность восстановления записанной прежде информации на частично поврежденном машинном носителе и ее содержание;
причина выявленных в ходе следствия сбоев данного компьютерного оборудования и наличие возможности их предотвращения с помощью технических средств;
перечень действий, предусмотренных соответствующими правилами для предотвращения сбоя, несанкционированного доступа, уничтожения файла, неправомерного копирования компьютерной информации, и не выполненных ответственным лицом;
признаки несанкционированных изменений информации, записанной на сменные диски (дискеты) и их содержание;
возможность использования в данной компьютерной системе посторонних программ без автоматической регистрации ее использования;
наличие в программе преднамеренной «закладки» (зарезервированного места в программе на случай необходимости последующей вставки дополнительных команд), ее назначение и автор;
средства защиты от вредоносных программ, предусмотренные в данной системе, их надежность, наличие сертификата и соответствие средств его требованиям;
процедура заражения данной системы компьютерным вирусом;
класс (тип) вируса, заразившего данную компьютерную систему и источник его происхождения;
размер и характер вреда, причиненного компьютерным вирусом.
Разумеется, круг вопросов по двум указанным видам экспертиз предлагаемыми перечнями не исчерпывается. С учетом характера каждого конкретного преступления могут быть поставлены и другие вопросы, объем которых определяется следователем в зависимости от расследуемого события и выяснения обстоятельств информационно-технологического или информационно-технического характера.
Так, по делам о неправомерном доступе к охраняемой законом компьютерной информации перед информационно-технологической экспертизой могут быть поставлены более частные вопросы, относящиеся к режиму ее обработки и охраны, главным образом к организационно-административным мерам защиты этой информации.
В настоящее время встречаются и другие виды экспертиз компьютерно-технической информации, что обусловлено динамичным развитием сферы высоких технологий, например, экспертиза электронно-цифровой подписи; экспертиза процесса разработки и использования программного обеспечения; компьютерно-сетевая экспертиза, экспертиза обстоятельств создания и использования файлов и баз данных и др. Все они отличаются, как правило, предметом, целью исследования и вопросами, которые могут быть поставлены перед экспертом.
В процессе расследования преступлений в сфере компьютерной информации может возникнуть необходимость производства и других видов экспертиз.
Например, идентификационная задача может быть решена с помощью комплексной компьютерно-технической и судебно-автороведческой экспертизы, позволяющей проверить, не написана ли данная компьютерная программа конкретным лицом.
Для проведения носящих комплексный характер экспертных исследований в сфере компьютерной информации приглашаются высококвалифицированные специалисты в области информатики, вычислительной техники и программирования, а также традиционных видов криминалистической экспертизы, экономической, финансовой, бухгалтерской и товароведческой экспертиз.
В ходе комплексной судебно-бухгалтерской экспертизы и экспертизы программного обеспечения, устанавливают:
возможность несанкционированного скрытого доступа к программному обеспечению с целью внесения изменений, влияющих на результаты расчетов и отчетность, механизм совершения таких изменений, их характер и последствия;
кто из работников учреждения, обслуживающих и эксплуатирующих эти средства, имеет указанные выше возможности;
размер причиненного материального ущерба;
какие нарушения правил, регламентирующих ведение бухгалтерского учета и отчетности, могли способствовать образованию ущерба;
какая операционная система использована в конкретном компьютере;
не вносились ли в программу данного системного продукта какие-либо коррективы, изменяющие выполнение операций (какие именно);
возможно ли получение доступа к конфиденциальной финансовой информации, имеющейся в данной сети, и каким образом может быть осуществлен этот доступ.
Поскольку подлинная информация на машинных носителях при производстве экспертиз может быть безвозвратно уничтожена, следует убедиться в ее наличии в уголовном деле в качестве вещественного доказательства и направлении для проведения экспертного исследования ее копия.
В случае, если прокурор установит, что какие-либо вопросы в заключении эксперта раскрыты не полностью или невозможно сделать однозначный вывод об исследуемых обстоятельствах на основании данного заключения, целесообразно ориентировать следователя провести допрос эксперта с целью устранения указанных недостатков.
Учитывая, что необходимо осуществлять надзор также и за соблюдением разумных сроков уголовного судопроизводства, нарушение которого ущемляет права потерпевших, назначать дополнительную судебную экспертизу следует только в том случае, если возникшие вопросы нельзя выяснить в ходе допроса эксперта.
Если же прокурор выявляет уже допущенное в ходе предварительного расследования нарушение, то он должен использовать предоставленные ему Уголовно-процессуальным кодексом Российской Федерации полномочия и внести требование об устранении нарушений, допущенных в ходе предварительного следствия.
Как известно, предварительное следствие оканчивается ознакомлением обвиняемого и его защитника с материалами дела, составлением и подписанием следователем обвинительного заключения и передачей уголовного дела прокурору для решения вопроса о его направлении в суд.
Процессуальный порядок реализации полномочий прокурора по уголовному делу, поступившему с обвинительным заключением, регламентирован ст. 221, 222 УПК РФ.
В соответствии со ст. 221 УПК РФ прокурор или его заместитель обязаны рассмотреть поступившее уголовное дело в срок, не превышающий десяти суток, и принять одно из следующих решений:
об утверждении обвинительного заключения и о направлении уголовного дела в суд;
о возвращении уголовного дела следователю для производства дополнительного следствия, изменения объема обвинения либо квалификации действий обвиняемых или пересоставления обвинительного заключения и устранения выявленных недостатков со своими письменными указаниями;
о направлении уголовного дела вышестоящему прокурору для утверждения обвинительного заключения, если оно подсудно вышестоящему суду.
Признав, что имеются основания для направления дела в суд, прокурор на первой странице обвинительного заключения ставит свою подпись об утверждении обвинительного заключения. Для принятия такого решения прокурором по материалам уголовного дела должны быть установлены следующие обстоятельства:
достаточность доказательств для рассмотрения дела в суде;
возможность поддержания с имеющимися доказательствами государственного обвинения;
относимость и допустимость собранных по делу доказательств;
соответствие предъявленного обвинения собранным доказательствам;
отсутствие обстоятельств, влекущих прекращение уголовного дела или уголовного преследования;
отсутствие процессуальных нарушений, исключающих возможность рассмотрения дела в суде;
соответствие обвинительного заключения требованиям закона.
Особое внимание, прокурору при изучении дел о преступлениях в сфере компьютерной информации, поступивших для утверждения обвинительного заключения, следует обращать на предъявленное обвинение, которое должно полностью подтверждаться имеющимися в уголовном деле доказательствами, и содержать текст идентичный тексту постановления о привлечении в качестве обвиняемого.
Прокурор согласно п. 2 ч. 1 ст. 221 УПК РФ вправе возвратить уголовное дело следователю для производства дополнительного следствия, изменения объема обвинения либо квалификации действий обвиняемых или пересоставления обвинительного заключения и устранения выявленных недостатков со своими письменными указаниями.
В настоящее время суд не имеет такого права, однако он может вернуть уголовное дело прокурору, при наличии оснований, предусмотренных ст. 237 УПК РФ, что, как правило, свидетельствует о ненадлежащем прокурорском надзоре за ходом предварительного следствия.
Хотя уголовно-процессуальным законом и предусмотрена возможность восполнения государственным обвинителем неполноты следствия, в том числе и путем предоставления суду новых доказательств, изначально отталкиваться от такой возможности при наличии нарушений, допущенных следователем и выявленных на стадии утверждения обвинительного заключения, нецелесообразно, поскольку направлять в суд с утвержденным обвинительным заключением уголовное дело, имеющее заведомые недостатки, прокурор не имеет права.
Поэтому при выявлении прокурором обстоятельств, препятствующих рассмотрению уголовного дела судом, в том числе и неустановлении обстоятельств, подлежащих доказыванию, он обязан своим мотивированным постановлением возвратить уголовное дело следователю для дополнительного следствия, изменения объема обвинения либо квалификации действий обвиняемого или составления нового обвинительного заключения и устранения выявленных недостатков.
Таким образом, в условиях увеличения числа преступлений в сфере компьютерной информации возрастает и роль прокурорского надзора за исполнением законов при расследовании преступлений указанной категории. Надлежащая организация прокурорского надзора позволяет обеспечить защиту прав и законных интересов лиц и организаций, потерпевших от преступлений, и личности от незаконного и необоснованного обвинения, осуждения, ограничения ее прав и свобод, восстановить уже нарушенные права и предотвратить совершение новых преступлений.
