§ 6. Особливості пошуку, вилучення та зберігання комп'ютерної інформації, що може бути використана як доказ у процесі доказування

У загальному вигляді «електронні докази» - це сукупність інформації, яка зберігається в електронному вигляді на всіх типах електронних носіїв і в електронних засобах. Особливість цих доказів полягає в тому, що вони не можуть сприйматися безпосередньо, а повинні бути інтерпретовані певним чином та проаналізовані за допомогою спеціальних технічних засобів і програмного забезпечення.

Правоохоронні установи у різних країнах світу утворюють всезростаючу кількість спеціалізованих підрозділів для збирання та аналізу електронних доказів.

Установлено, що більшість злочинів, де електронні докази були приєднані в процесі розслідування - це злочини у сфері економіки. Однак такі випадки не одиничні і при розслідуванні будь-яких інших видів злочинів.

Електронні докази можуть бути отримані із різноманітних джерел. Сучасне суспільство у багатьох випадках залежить від автоматизованих і комп'ютеризованих систем, які надають певні види послуг, робіт, виконують захисні функції. У повсякденному житті ми мало звертаємо увагу на різноманітні комп'ютерні системи, які знаходяться навкруги нас та впливають на нашу життєдіяльність. Ніхто з нас не замислюється про велику кількість мобільних телефонів, радіоприймачів і передавачів, які взаємозв'язані між собою, комп'ютерів, які керують виробничими процесами на підприємствах, а також про невеликі електронні пристрої, де зберігається персональна інформація (адреси, телефонні номери, розклад дня тощо).

Дуже часто правоохоронні органи стикаються з комп'ютерами, коли розслідуються звичайні види кримінальних злочинів - крадіжка, вимагання, шантаж, торгівля наркотиками тощо. Для криміналістів теж все більш звичайним стає пошук та аналіз у комп'ютерних системах інформації, яка може бути використана як доказ при розгляді кримінальної справи в суді.

Під час обшуку усі електронні докази, які знаходяться у комп'ютері чи

474

комп'ютерній системі, повинні бути зібрані таким чином, щоб вони потім були визнані судом. Світова практика свідчить, що під тиском представників захисту в суді електронні докази не беруться до уваги. Для того, щоб гарантувати їх визнання як доказів, необхідно суворо дотримуватися вимог національного кримінально-процесуального законодавства, а також стандартизованих прийомів і методів, напрацьованих експертами та фахівцями з розслідування цих видів злочинів.

Важливо, щоб комп'ютерні злочини розслідуватись лише тими підрозділами чи співробітниками правоохоронних органів, які мають спеціальні навички для ведення таких справ та пройшли відповідну підготовку. Робота з комп'ютерами і комп'ютерним обладнанням вимагає спеціальних знань. Серйозні проблеми, які призводять до значних витрат, можуть виникнути, якщо справу з цією технікою матиме некваліфікована особа. Тому існує нагальна потреба у спеціалізованих «комп'ютерних» підрозділах у системі правоохоронних органів або у кваліфікованих технічних працівниках.

Комп'ютери - це складне обладнання, яке потребує обережного поводження з ним під час роботи на місці події. Слід пам'ятати, що комп'ютери можуть містити в собі велику кількість даних, які належать сторонній особі або організації (наприклад, можуть бути об'єктом інтелектуальної власності). Тому обережність при поводженні з комп'ютером необхідна як з точки зору збереження важливої доказової інформації, так і з точки зору запобігання завдання матеріальних збитків та збереження власності. Одна помилка без перебільшення може коштувати мільйонних економічних втрат. Саме тому необхідно, щоб з комп'ютером на місці події працювала дійсно кваліфікована особа.

Справедливим є твердження про те, що не існує такого поняття, як «універсальний комп'ютерний експерт».

Найпростіше, коли мова йде про один окремий комп'ютер. Однак комп'ютери можуть бути об'єднані між собою в комп'ютерну мережу (наприклад, локальну), які, в свою чергу, можуть бути об'єднані через глобальні комп'ютерні мережі (типу Іпіетеі). Тому можлива ситуація, що певна важлива інформація (яка може бути використана як доказ) буде передана через мережу в інше

475

місце. Не виключено також, що це місце буде знаходитися за кордоном, а іноді важлива для кримінальної справи інформація може знаходитися на території кількох країн. У такому разі необхідно використати всі можливості (документація, допити осіб, технічні можливості системи) для встановлення місцезнаходження іншої комп'ютерної системи, куди було передано інформацію. Як тільки це буде зроблено, необхідно терміново надіслати запит, з виконанням встановлених вимог, про надання допомоги (або правової допомоги, якщо така необхідна для виконання поставлених у запиті питань) у компетентний правоохоронний орган відповідної країни.

Співробітники правоохоронних органів все частіше стикаються при обшуках в офісах підприємств та установ із локальними комп'ютерними мережами. Технології мереж дуже розвинуті та складні, ось чому існує небезпека, що слідство може втратити важливі докази, якщо особи, що ведуть його, не будуть ознайомлені з можливостями цих технологій. Необхідно зрозуміти, що реальне фізичне місцезнаходження даних може бути зовсім не в тому місці, як це сприймається на перший погляд. Технології мереж дозволяють приховати реальне розташування існуючих твердих дисків та файлових систем.

Особливу цінність при розслідуванні у комп'ютерних мережах відіграють так звані «логи», інформація, яка міститься в лог-файлах. За допомогою цих файлів можна відповісти на такі важливі запитання:

Хто? - рахунок користувача, ідентифікатор користувача;

Коли? - час трансакції;

Звідки? - мережна адреса, номер термінала, телефонний номер;

Що? - що трапилось у системі, що було знищено, змінено, замінено, скопійовано, які ресурси були задіяні для цього, в чому виражаються завдані збитки.

Лог-файли можуть бути організовані в комп'ютерах на різних рівнях: операційної системи, спеціально встановленого програмного забезпечення, окремих модулів баз даних і навіть у програмах-додатках. Фізично ця інформація може знаходитися в різних місцях від локальної станції і сервера мережі до головних великих ЕОМ.