Игорь Всеволодович Собецкий, преподаватель Учебного центра «Информзащита» В настоящее время все больший размах приобретает борьба с преступностью в сфере высоких технологий. С момента принятия нового Уголовного кодекса РФ, в который были включены ст. 272-274 об ответственности за преступления в сфере компьютерной информации, в системе МВД РФ были созданы и начали активную работу соответствующие подразделения. Уголовные дела о преступлениях в сфере компьютерной информации рассматриваются судами, и по ним нередко выносятся обвинительные приговоры в отношении конкретных злоумышленников. В последнее время за расследование инцидентов в сфере компьютерной информации взялись, помимо некоторых частных детективных служб, даже службы безопасности крупных фирм – силами сотрудников с весьма сомнительной квалификацией. Как показывает практика, в ходе раскрытия и расследования преступлений в сфере компьютерной информации следователь выстраивает цепочку доказательств: данные осмотра места происшествия – исследование – наведение справок – выявление и задержание злоумышленника. На первом этапе в соответствии со статьями 164, 176 и 177 Уголовно-процессуального кодекса РФ производится осмотр места происшествия, то есть компьютерной системы, подвергшейся хакерской атаке. В ходе этого осмотра следователь изымает и приобщает к делу различные файлы протоколов, в том числе с межсетевых экранов, журналы операционных систем и прикладных программ и т.п. Затем после анализа этих лог-файлов специалистом определяется тактика дальнейшего расследования. В зависимости от конкретных обстоятельств дела далее получаются путем выемки или даже обыска файлы протоколов в провайдерских или хостинговых компаниях, компаниях, предоставляющих услуги проводной связи, а также в некоторых других местах. На основании этих лог-файлов устанавливается как минимум местонахождение (а иногда и такие сведения о личности, как данные паспорта или фотография) подозреваемого лица. Данные этих лог-файлов в дальнейшем предъявляются как доказательство в ходе судебного процесса. Разумеется, при таком положении вещей перед всеми участниками судебного процесса встает вопрос: как обеспечивается доказательственное значение приобщенных к уголовному делу лог-файлов? Иными словами, являются ли лог-файлы допустимым доказательством в уголовном процессе? Этот вопрос весьма активно обсуждается на многих сайтах, посвященных вопросам безопасности сайт, в том числе и на . Однако, по моим наблюдениям, наибольшую активность в этих обсуждениях проявляют лица, не участвовавшие в реальных расследованиях преступлений в сфере компьютерной информации и тем более не представлявшие как обвинение, так и защиту в суде. В ходе таких обсуждений сетевая общественность в большинстве своем пришла к следующим весьма спорным умозаключениям: Лог-файлы, изъятые с компьютера потерпевшего, в дальнейшем не имеют доказательственной силы, поскольку предварительно могли быть изменены как самим потерпевшим, так и независимо от его желания третьими лицами. После же изъятия лог-файлы могут быть изменены следователем, специалистом или оперативными сотрудниками правоохранительных органов. Лог-файлы, полученные в провайдерских компаниях, в дальнейшем не имеют доказательственной силы, поскольку в соответствии с Законом РФ «О связи» провайдер не имеет права предоставлять кому бы то ни было информацию о частной жизни граждан без судебного решения. На основании же одних подозрений следователя (ведь лог-файлы с компьютера потерпевшего доказательственной силы не имеют) суды не будут выносить такое решение. Результаты исследования каких-либо компьютеров (в том числе и изъятых у подозреваемых лиц), произведенного экспертом, не имеют доказательственной силы, поскольку для производства подобных экспертиз эксперт должен использовать методики, сертифицированные Министерством юстиции и состоять на службе в специализированном экспертном учреждении. Фактически на данный момент в штате экспертных учреждений Министерства юстиции (и даже МВД и ФСБ – прим. автора) таких специалистов нет. Для пресечения преступлений в сфере компьютерной информации необходимо разработать специальное «Интернет-законодательство» и «Интернет-право», поскольку обычные законы не могут действовать в киберпространстве. Руководствуясь этими соображениями, нетрудно сделать ошибочный вывод, что доказать какое-либо преступление в сфере компьютерной информации в настоящее время практически невозможно. И, как результат, некоторые посетители таких форумов, не обладающие достаточной юридической подготовкой, нередко сами совершают правонарушения, после чего без особых сложностей привлекаются к уголовной ответственности. На самом же деле возникающие при оценке доказательственной силы лог-файлов затруднения легко разрешаются в рамках действующего законодательства. Как и во многих других аспектах нашей жизни, теория явно не выдерживает столкновения с практикой. Подобно тому, как первое кругосветное путешествие доказало несостоятельность теории плоской Земли, первое же судебное заседание по делу гражданина, обвиненного по ст. 272 УК РФ, доказало несостоятельность доморощенных юридических теорий. Обвиняемый (в гор. Волгограде) получил наказание в виде двух лет лишения свободы условно, а практикующие юристы – ценный опыт, который и был применен при расследовании уголовных дел по ст. 272 и 273 УК РФ в различных субъектах РФ. Для лучшего понимания дальнейшего текста приведем простой пример, сравнив компьютерную преступность с общеуголовной. Допустим, что совершено ограбление и убийство. Родственники потерпевшего обратились в милицию, после чего следователь вынул из трупа окровавленный нож со следами пальцев убийцы. По отпечаткам пальцев убийца был установлен и задержан. Однако в свою защиту он заявляет, что отпечатки его пальцев на ноже были фальсифицированы следователем или родственниками убитого, а украденные из квартиры вещи подбросили ему работники милиции. То есть он невиновен и требует немедленного освобождения. Такое заявление не так нелепо, как кажется. Любой следователь может вспомнить многих «клиентов», которые рассказывали и более странные истории. На самом деле это верный способ получить максимальный срок по инкриминируемой статье. Следователь и суд оценивают собранные по делу доказательства на основании статей 87 и 88 Уголовно-процессуального кодекса РФ. Так, в соответствии со статьей 87 «проверка доказательств производится дознавателем, следователем, прокурором, судом путем сопоставления их с другими доказательствами, имеющимися в уголовном деле, а также установления их источников, получения иных доказательств, подтверждающих или опровергающих проверяемое доказательство». В соответствии со статьей 88, «каждое доказательство подлежит оценке с точки зрения относимости, допустимости, достоверности, а все собранные доказательства в совокупности - достаточности для разрешения уголовного дела». Эта же статья указывает, что конкретные доказательства по уголовному делу могут быть признаны недопустимыми (то есть не имеющими юридической силы) либо следователем, либо судом. Очевидно, что в ходе расследования уголовного дела о преступлении в сфере компьютерной информации следователь едва ли согласится признать недопустимым доказательством собственноручно изъятые им лог-файлы. У привлеченного к уголовной ответственности злоумышленника остается единственный выход – заявить соответствующее ходатайство непосредственно в судебном заседании. В этом случае рассмотрение ходатайства будет осуществляться с соблюдением требований статьи 234 Уголовно-процессуального кодекса: «при рассмотрении ходатайства об исключении доказательства, заявленного стороной защиты на том основании, что доказательство было получено с нарушением требований настоящего Кодекса, бремя опровержения доводов, представленных стороной защиты, лежит на прокуроре. В остальных случаях бремя доказывания лежит на стороне, заявившей ходатайство.» Таким образом, если следователь или оперативные работники не допустили процессуальных нарушений при изъятии лог-файлов, то доказывать факт их подделки потерпевшим или третьими лицами придется не кому-нибудь, а самому злоумышленнику. И ему в полной мере придется ощутить мудрость Конфуция: «Трудно поймать чёрную кошку в темной комнате, особенно когда её там нет!» При осмотре места происшествия и изъятии лог-файлов единственной новацией по сравнению с раскрытием общеуголовных преступлений является необходимость обеспечить присутствие при осмотре достаточно компетентных понятых, которые понимали бы смысл действий следователя (и, возможно, приглашённого им специалиста) по изъятию лог-файлов. В остальном же осмотр места происшествия является одним из наиболее стереотипных и отлично описанных в специальной литературе следственных действий. Поэтому, если проблема компетентности понятых решена, то какие-либо другие процессуальные нарушения крайне маловероятны. В результате оспорить доказательственное значение лог-файлов, снятых с компьютера потерпевшего, как правило, не удается. Второе обычное заблуждение касается правомерности получения лог-файлов у провайдерских и телекоммуникационных компаний. Эти действия осуществляются в соответствии с Законами РФ «О милиции» и «Об оперативно-розыскной деятельности». Действительно, в Законе РФ «О связи» содержатся положения о тайне связи. Так, в статье 31 этого закона говорится: «Информация о почтовых отправлениях и передаваемых по сетям электрической связи сообщениях, а также сами эти отправления и сообщения могут выдаваться только отправителям и адресатам или их законным представителям. Прослушивание телефонных переговоров, ознакомление с сообщениями электросвязи, задержка, осмотр и выемка почтовых отправлений и документальной корреспонденции, получение сведений о них, а также иные ограничения тайны связи допускаются только на основании судебного решения.» В большинст
