"Форензика - компьютерная киминалистика. Часть 4"

Николай Федотов, компания INFOWATCHКомпьютерные преступления (продолжение)ОперативностьНекоторые отмечают особое значение оперативности действий при раскрытии и расследовании компьютерных преступлений. Ссылаются на относительно быструю по сравнению с другими видами преступлений утрату доказательств, а также на оперативность связи между сообщниками, которые могут быстро предпринять действия по уничтожению улик и иному воспрепятствованию следственным органам.Давайте посмотрим, действительно ли это так.Компьютерная информация бывает короткоживущей. Бывает она и долгоживущей. Даже всерьез говорят  о компьютерной археологии (цифровой археологии), то есть поиске и изучении «древней» компьютерной информации ради получения исторических и обществоведческих сведений. Неоднократно отмечались случаи, когда человек, казалось бы, безвозвратно утративший информацию со своего компьютера, находил ее в Сети и таким образом восстанавливал.Логи хранятся не вечно. Но насколько долго? Здравый смысл подсказывает, что хранить их стоит до тех пор, пока они могут пригодиться. В зависимости от содержания логов, этот период полезности соответствует периодичности подсчета статистики, сроку действия клиентского договора, периодичности оплаты услуг, сроку исковой давности. В некоторых случаях длительность хранения логов установлена нормативными актами. Например, постановление Правительства РФ №538  устанавливает трехлетний срок хранения сведений об абонентах и их «расчетах за оказанные услуги связи, в том числе о соединениях, трафике и платежах».Многие предприятия хранят логи до истечения сроков исковой давности. Некоторые хранят информацию столько времени, на сколько хватает места на диске. В общем, сроки хранения во многих случаях могут быть весьма значительными и даже превышать сроки хранения бумажных документов. В отличие от бумажных, электронные документы обходятся в хранении и обработке несравненно дешевле.Что касается оперативной связи между сообщниками по компьютерным преступлениям, то все используемые ими способы связи никак не оперативнее обычного телефона, которым пользуются все преступники на протяжении последних десятилетий. Вспомним также об отнюдь не повсеместном доступе к компьютеру и к Сети, об относительно медленной электронной почте, о разнице во времени между сообщниками из разных стран. Заключим в результате, что для среднего «компьютерного» преступника скорость связи с сообщниками вряд ли отличается от скорости связи для среднего мошенника или взяточника.Возможность быстрого уничтожения цифровых следов и прочих доказательств в ряде случаев, безусловно, присутствует. Стереть один файл можно столь же быстро, как смыть в унитаз один грамм героина. Но вот стирание (а тем более, затирание с гарантией от восстановления) содержимого всего диска занимает десятки минут. В случаях, когда информация находится на удаленных компьютерах, добавляется еще время получения доступа к ним. Уничтожить основные доказательства такого занятия, как фишинг,  займет не один час, если не позаботиться обо всем заранее. Вспомним, что могут успеть за один час преступники, совершившие офлайновые преступления: выбросить в реку пистолет, заменить капот и радиатор после наезда на пешехода, отдать родственнику полученные в виде взятки деньги, выстирать испачканную кровью одежду, сжечь фальшивый паспорт, иногда даже убрать сообщника.

Видно, что оперативность действий по фиксации и изъятию доказательств для расследования компьютерных преступлений столь же важна, как для многих иных преступлений. Поэтому отличительной особенностью компьютерных преступлений не является.Для иллюстрации темы оперативности вот случай, рассказанный сотрудником управления «К» одного из субъектов Федерации.Был выявлен и доставлен в управление подозреваемый в совершении неправомерного доступа (ст. 272 УК). После установления места его жительства одного из сотрудников срочно отправили туда для проведения неотложного (ч. 5 ст. 165 УПК) обыска и изъятия компьютера – предполагаемого орудия совершения преступления, на котором надеялись обнаружить основные доказательства. Поскольку для задержания (ст. 91-92 УПК) подозреваемого оснований не нашлось, после допроса он был отпущен домой. На следующее утро оказалось, что в силу некоторых обстоятельств, описывать которые здесь неуместно, упомянутый выше сотрудник так и не произвел обыска в квартире подозреваемого. Разумеется, все подумали, что доказательства с этого компьютера утрачены. Уже без особой спешки, получив судебную санкцию на обыск, отправились к подозреваемому. Была еще слабая надежда, что он по незнанию просто отформатировал свой диск и информацию можно будет восстановить. Каково же было удивление оперативников, когда при обыске они обнаружили не только компьютер подозреваемого с нетронутой информацией, но и еще один компьютер – компьютер сообщника, который подозреваемый принес в свою квартиру, чтобы переписать на него всю ценную информацию со своего. Таким образом, задержка в несколько часов не привела к утрате компьютерной информации, к тому же позволила выявить сообщника.