Проблемы расследования преступлений в сфере компьютерной информации

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Проблемы расследования преступлений в сфере компьютерной информации». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Актуальность темы исследования, обосновывается тем, что число совершенных киберпреступлений возрастает и охватывает все новые и новые деяния. Преступность в сфере информационных технологий в текущих реалиях выступает одной из ключевых угроз национальной безопасности Российской Федерации в информационной сфере. Количество киберпреступлений напрямую зависит от числа интернет-пользователей. Расследование компьютерных преступлений обусловлено спецификой совершенных преступником действий, слабой теоретический проработкой вопроса методики организации расследования киберпреступлений, и индивидуальностью тактики производства следственных действий под отдельно взятое преступление; несомненно, влияет и недостаточная квалификация следователей для работы со специфическими источниками информации, представленной в виде электронных страниц, сайтов и т.д. В связи с ростом числа киберпреступлений, оформлением более профессиональных способов их совершения проблема изучения криминалистических особенностей расследования киберпреступлений является насущной.

Понятие киберпреступления

Главным явлением, повлиявшим на формирование нынешнего социума в 21 веке, начало активное усовершенствование информационных и телекоммуникационных технологий, считается, что настал новый период в истории человеческой цивилизации. Но улучшение сетевых технологий привело не только лишь к ускорению формирования социума, однако и к расширению источников угрозы для него.

Эксперты уже называют преступность в информационной среде одной из угроз, оказывающих значительное воздействие на национальную безопасность Российской Федерации. Подобное беспокойство абсолютно оправдано: изучение данной сферы иллюстрирует нам, что в глобальных компьютерных сетях создается сложная система криминогенных факторов.

Нарастающая проблема низкой безопасности глобальных сетей от противозаконных действий носит многогранный характер и содержит ряд элементов, затрагивающих круг интересов многих. В связи с этим, иностранными учеными уже довольно давно проводится интенсивное исследование воздействий технологических достижений на социальные процессы, на формирование права и изменение преступности.

При исследовании международной статистики интернет-преступности можно придти к выводу, что Россия за минувшие годы стала одним из лидеров по числу кибератак во всем мире (после нее следуют США, Китай и Индия). За этим могут стоять следующие предпосылки:

• слабая законодательная основа, которая регулирует проблемы киберпространства и преступных посягательств в нем;
• сложность расследования и раскрытия;
• сложность сбора доказательств и процесса доказывания, по причине возникновения подобного определения как «виртуальный след»;
• отсутствие обобщенной судебной и следственной практики проделам этой категории;
• отсутствие единой программы предотвращения и борьбы с киберпреступлениями.

Имеется ряд трудностей в раскрытии киберпреступлений, одна из них это нежелание россиян заявлять о содеянном против них компьютерном правонарушении в полицию, а кроме того, в правовой неграмотности людей, столкнувшихся с компьютерной преступностью. Еще одна проблема раскрытия и предотвращения киберпреступлений – это значительно высокая квалификация киберпреступников, которые не оставляют следов присутствия и своего пребывания на месте совершенного правонарушения. Нередко «потерпевшая сторона» даже и никак не думает о совершенном преступлении, а к моменту обнаружения проходит большое количество времени, так все возможные следы, по которым можно было выйти на правонарушителя полностью пропадают.

Развитие компьютерных технологий, новых механизмов направленных на осуществление интернет-преступлений и возникновение новой группы преступников, а непосредственно хакеров, киберпреступников, довольно опередило законодательство Российской Федерации и никак не дало возможности оперативно создать правовую область, которая будет корректировать отношения, образующиеся в киберсреде и повысило возможность совершения безнаказанных правонарушений.

Вплоть до сих пор в Уголовном кодексе РФ отсутсвует определение «киберпреступность», многие эксперты и ученые предприняли попытку определить данное понятие. По мнению В.А. Номоконова, Т.Л. Тропиной «киберпреступление является более обширным, чем компьютерная преступность и точно описывает такое явление как преступность в информационном пространстве». Наиболее полное определение, отражающее нюансы этого негативного явления, предлагается в статье Д.Н. Карпова «киберпреступление – это акт социальной девиации с целью нанесения экономического, политического, морального, идеологического, культурного и других видов ущерба индивиду, организации государству посредством любого технического средства с доступом в Интернет».

Актуальные проблемы расследования киберпреступлений

О том, как именно ищут киберпреступников, рассказывать не принято, иначе все действия криминалистов и правоохранителей оказались бы тщетны. Но про один из путей сотрудник Group-IB Дмитрий Волков все же поведал.

“В ходе расследования мы стараемся восстановить историю развития хакера и вернуться к самому началу, когда он был не матерым профессионалом, а только набирался опыта. Естественно, в самом начале люди допускают гораздо больше ошибок, которые и позволяют их идентифицировать в Сети”, – делится секретом глава департамента предотвращения угроз и расследований инцидентов Group-IB.

Остальное – забота правоохранительных органов: физический поиск и задержание хакера могут осуществить только полицейские или ФСБ. При этом Волков отметил, что ошибку в установлении личности хакера допустить легко, поэтому этим должны заниматься профессионалы с большим опытом.

Экс-сотрудник управления “К” подчеркнул, что в распоряжении МВД есть вся мощь государственной системы. “Мы вправе запрашивать самую разную информацию у интернет-провайдеров, операторов сотовой связи, владельцев интернет-ресурсов. Зачастую хакерские группировки многонациональны и в этом случае МВД вступает во взаимодействие с зарубежными ведомствами”, – отметил собеседник издания.

Когда к делу подключаются правоохранительные органы, частные эксперты не пропадают: начинается трехсторонняя работа. При этом силовики подключают свой арсенал:

• Устанавливают заказчиков преступления;
• Отслеживают денежные потоки;
• Опечатывают компьютеры;
• Выполняют следственно-процессуальные действия – обвинение, арест и прочее.

В то же время правоохранители перепроверяют информацию, полученную от экспертов. Стоит сказать, что непосредственным расследованием дел в управлении “К” не занимаются – там только обеспечивают техническое сопровождение. Само дело могут направить и в управление по борьбе с экономическими преступлениями, и в ФСБ.

По словам бывшего полицейского, когда круг подозреваемых сужается, проводятся оперативные мероприятия по отношению к подозреваемым: прослушка телефонов, просмотр электронной переписки и прочее. При этом технику изымают только тогда, когда на это есть серьезные основания. Сами компьютеры передают на исследование экспертам – как негосударственным фирмам, так и МВД.

Поскольку применение защитных средств или мер борьбы с любым явлением невозможно без понимания сути этого самого явления, ученые, исследователи и законодатели всего мира предприняли попытку определить понятие «киберпреступление» и сформулировать критерии его отграничения от иных противоправных деяний.

В результате проделанной работы появилось огромное количество весьма пространственных определений, но суть всех их сводится к следующему: «киберпреступление – это любое преступление в электронной сфере, совершенное при помощи компьютерной системы или сети, или против них».

Особенности данного вида преступлений:

1. чрезвычайная скрытность деяний, которая достигается применением механизмов анонимности и шифрования;
2. трансграничность, преступник и жертва могут быть разделены тысячами километров, границами нескольких государств;
3. нестандартность способов совершения;
4. автоматизированный режим.

Количество киберпреступлений, совершаемых в России и в мире, неуклонно растет, за последние пять лет их число колеблется в пределах 8 тыс. – 17 тыс., с ежегодной динамикой около 10%.

Меняется и их качественный состав, и размер причиненного ущерба.

Такое торжество преступности в виртуальном пространстве не может обойтись безнаказанно.

Кибербезопасность на сегодняшний день является одной из наиболее важных тем современного мира. Но для начала следует разделить понятия кибербезопасности и информационной безопасности, которые путает огромное количество людей. В первую очередь кибербезопасность является подмножеством информационной безопасности.

Информационная безопасность – это иной способ сказать «защита данных». Большинство компаний на сегодняшний день хранят данные на серверах, десктопах, ноутбуках или где-либо в интернете – но буквально десятилетие назад до того, как вся конфиденциальная информация перешла в онлайн, она заполняла целые кабинеты. И некоторая конфиденциальная информация остается там по сей день! Основной задачей информационной безопасности является защита и сохранность данных в любой форме и это более широкое значение чем у кибербезопасности.

Кибербезопасность же заключается в защите данных, которые располагаются в электронной форме. А также в определении наиболее важных данных, где они размещаются, и какие технологии необходимо применять для их защиты. [8, с. 2].

Кибербезопасность находится в зоне особого внимания как пользователей, так и организаций. По данным Global Knowledge, безопасность данных в последние семь лет входит в число первоочередных задач IT-подразделений компаний. При этом, понятия и термины, которые используются в этой сфере, не всегда знакомы и понятны рядовым пользователям. Предлагаем вам базовый список понятий и определений, из которого вам станет понятна разница, например, между IPS и VPN.

В России насчитывается более 90 млн пользователей интернета, что обеспечивает стране первое место в Европе по этому показателю. Также присутствует рост в сфере электронной коммерции и внедрение технологий в банках, страховых компаниях и логистике.

Проблема киберпреступности состоит из двух компонентов. Во-первых, появляются новые преступления, такие как нарушение целостности, доступности и конфиденциальности электронных данных, объектом которых являются новые охраняемые законом интересы, возникшие в связи с развитием информационных технологий. Во-вторых, глобальные информационные сети используются для совершения деяний, ответственность за которые уже предусмотрена уголовным законодательством многих государств, таких как хищение имущества, распространение детской порнографии, нарушение тайны частной жизни, и др. В последние годы информационные сети развиваются слишком быстро, чтобы существующие механизмы контроля успевали реагировать на новые проблемы.

К основным угрозам, связанным с развитием информационных технологий и распространением сети Интернет, в настоящее время эксперты относят «облачную» обработку данных, автоматизацию атак, использование мобильных устройств для подключения к сети Интернет, уязвимость персональной информации в социальных сетях, распространение так называемого «информационного оружия».

На Международном конгрессе по кибербезопасности был озвучил список мер по киберзащите страны, которые намерено принять правительство Российской Федерации. В список вошли международное сотрудничество, создание системы обмена информацией о кибератаках, использование отечественного ПО и подготовка квалифицированных кадров. Программа по борьбе с киберпреступностью в России включает в себя пять первоочередных шагов:

— Во-первых, в России должны быть выработаны новые комплексные решения, направленные на борьбу с преступлениями против граждан в цифровой среде. Эти решения должны способствовать более эффективной работе спецслужб по реагированию на киберугрозы. Для этого должны быть созданы необходимые правовые условия, при которых гражданам и госструктурам будет удобно взаимодействовать друг с другом.

— Вторым шагом станет создание системы автоматизированного обмена информацией об угрозах — такую инициативу выдвинул бизнес. Через эту систему будет происходить координирование действий операторов связи, банков и интернет-компаний с правоохранителями в процессе отражения кибератак.

— В-третьих, государство будет стремиться к тому, чтобы используемые в России ПО и инфраструктура связи базировались на сертифицированных российских решениях. Имеются в виду конкурентоспособные продукты высокого качества, и что такая политика не должна нанести ущерба конкуренции.

— Четвертой мерой станет повышение уровня подготовки российских ИБ-специалистов, для чего будут интенсивнее внедряться методики, ориентированные на практику, а также будет использоваться передовой отечественный и зарубежный опыт.

— В качестве пятой меры Россия намерена улучшить систему обмена данными о киберугрозах с другими странами.

Пример успешного международного сотрудничества в цифровой сфере — согласованные действия России и европейских стран по введению единых норм защиты персональных данных в рамках Совета Европы, имеется в виду в том числе запрет на передачу персональных данных россиян в другие страны.

Борьба с киберпреступностью в настоящее время стремительно развивается. В Министерстве внутренних дел Российской Федерации создано управление «К» особого назначения, которое направлено на извлечение преступлений в информационной сфере. К основным задачам указанного подразделения относятся— борьба с нарушением авторских прав пользователей (ст. 146 УК РФ), поиски и выявление незаконного проникновения в персональные компьютеры (ст. 272 УК РФ), выявление нелегального использования кредитных банковских карт (ст. 159 УК РФ) и другие.

За последний год около 556 миллионов людей во всем понесли ущерб от киберпреступности. Ответственность за киберпреступления в России предусматривается главой 28 УК РФ и относится исключительно к преступлениям в информационном пространстве. Статьи 272, 273, 274 УК РФ предполагают различные наказания в зависимости от тяжести и вида преступлений. Они включают в себя штрафы от 50 тыс. рублей, исправительные работы, а также лишение свободы сроком до 7 лет. [2, с. 98.].

Таким образом, киберпреступность создает круг проблем по совершенствованию защитных мер от нелегального доступа к информации в глобальной сети интернет, использование сведений с целью нанесения вреда с помощью распространения различных программ вирусного характера. Преступления в информационной области привлекают преступников своей значительной выгодностью и неправомерностью преступных действий. В связи с этим в настоящее время крайне необходимо решать проблемы, связанные с киберпреступностью и повышать эффективность способов борьбы. В Российской Федерации следует сформировать эффективную систему борьбы с киберпреступностью, которая будет направлена на их предупреждение и предотвращение.

Тактика производства невербальных следственных действий при расследовании киберпреступлений

При необходимости ситуалогическая экспертиза может проводиться как в лабораторных условиях, так и в «полевых» условиях (на месте происшествия) – если для этого имеются все необходимые условия, технические средства и соответствующая обстановка. Востребованность ситуалогической (ситуационной) экспертизы возникает в случаях установления сложного механизма совершения киберпреступления.

Особенности объекта и предмета рассматриваемого вида экспертизы предполагают применения интегрированных методов экспертного исследования и экспертных методов, что требует разработки и создания и специальной методики (частной экспертной методики1), которая могла бы отразить сложный характер экспертизы, предполагающей объединение специальных знаний, сосредоточенных в других видах экспертиз. Все эти теоретические и практические подходы необходимо адаптировать к особенностям объединённой методики, сформулировать общие принципы, возможно, создать специальные методы и средства, обеспечивающие эффективное производство экспертизы и высокое качество получаемых результатов.

Очевидно, что системы и механизмы преступной деятельности чрезвычайно сложны и многообразны. Отсюда методика проведения экспертного исследования места происшествия должна воплощать в себе общетеоретическое понимание того факта, что преступная деятельность изобретательна и многовекторна. Движения, средства, процессы, цели, мотивы индивидов преступного мира так или иначе отображаются во всей совокупности в тех объектах, состояние которых ими изменено. В свою очередь вторичное, изменённое отображение информации, заключённое в первичных отображениях, и образует след.

Методикой ситуационной (ситуалогической) экспертизы обеспечивается проведение различных исследований на разных структурных уровнях. Ею могут быть исследованы как отдельные объекты, так и их совокупности, в том числе материальные отображения вещной обстановки места происшествия в целом.

При производстве осмотра места происшествия реально получить информацию о личности киберпреступника. Важно подчеркнуть, что именно первая информация, которую получают в ходе осмотра места происшествия, – это информация о личности преступника.

При совершении преступления вопреки воле преступника, как отмечает В. И. Комиссаров, создаётся информационная система, включающая различные материальные и идеальные источники. Причём преимущество материальных следов («немых свидетелей») значительно выше идеальных следов, что объясняется их беспристрастностью, невозможностью их изменения со стороны заинтересованных лиц путём подкупа, шантажа, давления и других незаконных действий, используемых по отношению к участникам уголовного процесса – свидетелям и потерпевшим, к одним из носителей идеальных следов.

В этих условиях особое место в доказывании занимают следственные действия, связанные с обнаружением материальных следов преступления. В иерархии этой группы следственных действий безусловная превалирующая роль принадлежит осмотру места происшествия1.

Источниками доказательственной информации при следственном осмотре могут служить: а) обнаруженные материальные следы преступления; б) иные объекты, обнаруженные при осмотре; в) обстановка места происшествия, помещения, участка местности или иного объекта; г) другие обстоятельства, выявленные при осмотре и имеющие значение для дела.

Не менее важное значение, особенно на первоначальном этапе расследования преступлений, как подчёркивает И. А. Макаренко2, имеет ориентирующая информация, полученная во время проведения следственного осмотра. Она является ос 116 нованием для выдвижения версий о характере расследуемого события, о способе, мотивах, психических и физических свойствах предполагаемого преступника, его эмоциональном состоянии и т. д. Имея представление о способе совершения преступления, можно вынести обоснованные суждения о личности преступника, поскольку способ реализации противоправного деяния раскрывает личностные физические и психорактерологические свойства и качества индивида (физическую силу, навыки, умения, привычки, опыт, характер и др.), с одной стороны, и его социально обусловленное положение (потребности, интересы, материальная обстановка, социальное окружение, среда и др.), с другой стороны, объективно детерминирующие принятие решения о правонарушении и способе действий по достижению преступной цели1.

Контроль над киберпреступностью

Совокупность потребностей, удовлетворение которых обеспечивает существование и возможность прогрессивного развития каждого гражданина, общества и государства — это часть национальных интересов, без реализации которых невозможно обеспечить стабильное состояние государства и общества, а также нормальное развитие страны как независимого субъекта международных отношений. Все защищаемые интересы в информационной сфере подразделяются на интересы личности, государства, общества. Проблема киберпреступности в настоящее время затрагивает как и целые государства так и отдельных личностей.

Исходя из вышеизложенного, можно сделать вывод, что противодействие киберпреступности- это часть национальных интересов

На рисунке 1.1 продемонстрирована система противодействия киберпреступности.

Киберпреступления: основные проблемы расследований

Уголовный кодекс РФ не содержит четкого определения, что есть «киберпреступление».

Во многих источниках под киберпреступлениями понимают: «компьютерные преступления», «преступления в сфере высоких технологий», «информационные преступления», собственно «киберпреступления», «преступления в сфере безопасности обращения компьютерной информации», «преступления в сфере компьютерной информации» и т.д.

Независимо от используемой терминологии очевиден целый комплекс сложившихся проблем борьбы с киберпреступлениями.

Следователи и дознаватели констатируют, что им все чаще приходится расследовать следующие киберпреступления, предусмотренные УК РФ:

• ст. 159.6 — «Мошенничество в сфере компьютерной информации»,
• ст. 242.1 — «Изготовление и оборот материалов или предметов с порнографическими изображениями несовершеннолетних»,
• ст. 273 — «Создание, использование и распространение вредоносных компьютерных программ», ст. 242 — «Незаконные изготовление и оборот порнографических материалов или предметов»,
• ст. 274 — «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации информационно-телекоммуникационных сетей»,
• ст. 158 — «Кража»,
• ст. 183 — «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»,
• ст. 138 — «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений»,
• ст. 272 — «Неправомерный доступ к компьютерной информации»,
• ст. 137 «Нарушение неприкосновенности частной жизни»,
• ст. 282 «Возбуждение ненависти либо вражды, а равно унижение человеческого достоинства».

Преступления в сфере компьютерных технологий

С развитием современных технологий, каждый шаг человека становится частью информационной сферы. Даже самые простые вещи уже давно стали частью электронного мира.

К примеру, большинство людей начинают свой день не с завтрака — а с проверки электронной почты или социальной сети. Развитие сферы компьютерной информации только набирает обороты, и, вполне возможно, что в скором будущем личное окончательно станет публичным. Именно этим активно пользуются злоумышленники.

Каждый человек хотя бы раз сталкивался если не с самим противоправным деянием, то по крайней мере с попыткой мошенника совершить преступления в компьютерной сфере. И если раньше это были попытки выманить деньги у доверчивых людей, сейчас такие преступные деяния могут быть совершены и без помощи человека — телефон автоматически скачивает программу-вирус при заходе на определенный сайт, что впоследствии может привести к краже персональных данных (к примеру, сведения о банковской карте).

Скачать для просмотра и печати:

При разделении источников по классам можно исходить из его принадлежности определенным категориям лиц, мотивов действий и преследуемых целей, характера методов достижения поставленных целей, квалификации, технической оснащенности и знаний об атакуемой информационной системе.

В 1998 г. в экспертно-криминалистическом центре МВД была проведена классификация компьютерных преступников. Обобщенный портрет отечественного хакера, созданный на основе этого анализа, выглядит примерно следующим образом:

• мужчина в возрасте от 15 до 45 лет, имеющий многолетний опыт работы на компьютере либо почти не обладающий таким опытом;

• в прошлом к уголовной ответственности не привлекался;

• яркая мыслящая личность;

• способен принимать ответственные решения;

• хороший, добросовестный работник, по характеру нетерпимый к насмешкам и потере своего социального статуса среди окружающих его людей;

• любит уединенную работу;

• приходит на службу первым и уходит последним, часто задерживается на работе после окончания рабочего дня и очень редко использует отпуск и отгулы.

Типичным компьютерным преступником может быть как немолодой хакер, использующий телефон и домашний компьютер для получения доступа к большим компьютерам, так и служащий, которому разрешен доступ к системе.

Киберпреступники классифицируются на внешних и внутренних.

Потенциально к внутренним относится персонал (инсайдеры)[10].

Инсайдер — лицо, имеющее в силу своего служебного или семейного положения доступ к конфиденциальной информации о делах компании. В эту группу включаются лица, добывающие конфиденциальную информацию о деятельности корпорации и использующие ее в целях личного обогащения.

Внутренних можно классифицировать в 3 основных типа:

• злоумышленник (хакер, крэкер, фрикер);
• объединение хакеров;
• разведка (конкурентная разведка, государственная разведка).

Рассмотрим более подробно возможные схемы действий внешних злоумышленников, использующего удаленное проникновение в информационную систему объекта атаки[11].

Хакер – человек, который полностью поглощён программированием и компьютерной технологией, тот, кто любит изучать коды оперативных систем и других программ, чтобы посмотреть, как они работают. Затем он использует свою компьютерную эрудицию в незаконных целях, таких как получения доступа к компьютерным системам без разрешения и порча программ и данных в этих системах. Будучи хакером, человек способен воровать информацию, заниматься промышленным шпионажем и запускать скрытые программы, вирусы и троянских коней.

Крэкер– это человек, который обходит или разрушает средства безопасности сети или отдельной компьютерной системы, чтобы получить несанкционированный доступ. Классическая цель крэкера – нелегально получить информацию от компьютерной системы, чтобы затем нелегально использовать компьютерные ресурсы. Как бы то ни было, главной целью большинства крэкеров является просто разрушение системы.

Фрикер– это человек, который проникает в телефонные сети или другие защищенные телекоммуникационные системы.

Данный тип кибепреступников очень сильно ограничен в финансовом плане. Он необязательно обладает глубокими знаниями в области компьютерных технологий, чаще всего использует готовые компьютерные программы, доступные из Интернета, для реализации угроз через давно известные уязвимости. Вряд ли такой тип нарушителя обладает достаточными знаниями о построении информационной системы объекта атаки. Его действия больше носят экспериментальный характер, он не стремится получить доступ к определенной информации или модифицировать ее с целью извлечения выгоды. Ему просто интересно провести некоторые действия с информационной системой объекта атаки, недоступными и неиспользуемыми простыми пользователями Интернета. Характер действия — скрытый, в меру своих способностей. Чаще всего останавливается после проведения первого успешного воздействия.

Следующий по опасности тип источника угроз — это объединенная хакерская группа. Исследуемый тип злоумышленников достаточно скован в своих финансовых возможностях. Она еще не обладает вычислительными мощностями уровня крупного предприятия и подобным пропускным каналом в Интернет. Но обладание суммарными знаниями в области компьютерных технологий представляют большую опасность. Такие злоумышленники используют всевозможные приемы для организации сканирования информационных систем с целью выявления новых уязвимостей, применяются также методы реализации угроз через уже известные уязвимости. Они в состоянии написать программы, которые используют обнаруженные уязвимости: сетевые черви, вирусы, трояны и другие вредоносные программные средства. Для выполнения своих планов они могут встраивать вредоносные программы в вычислительные системы своих жертв. При использовании таких программ они могут получить доступ к большим компьютерным мощностям вычислительных сетей крупных научных или военных ведомств, а также к каналу с высокой пропускной способностью, который соединяет пораженную сеть (сети) с Интернетом.

Описанные действия позволяют им производить мощные атаки на информационные системы в сети Интернет. Чаще всего они действуют целенаправленно и могут предпринимать определенные усилия для получения представления о принципах функционирования системы защиты банка. Планируя свои действия, группа предпринимает все возможные усилия для сокрытия факта несанкционированного доступа. Хакерская группа не останавливается до момента достижения поставленной цели или столкновения с непреодолимыми препятствиями для проведения дальнейшего вторжения.

Следующий тип —разведка, основанная на конкуренции[10].

Конкурентная разведка — сбор и обработка данных из разных источников, для выработки управленческих решений с целью повышения конкурентоспособности коммерческой организации, проводимые в рамках закона и с соблюдением этических норм (в отличие от промышленного шпионажа); а также структурное подразделение предприятия, выполняющее эти функции. Конкурентная разведка — это постоянная, циклическая последовательность действий, результатом которой является информация для выработки управленческих решений[10].

Промышленный шпионаж — одна из форм недобросовестной конкуренции, применяемая на всех уровнях экономики, начиная с небольших предприятий и заканчивая государствами. Основное предназначение промышленного шпионажа — экономия средств и времени, которые требуется затратить, чтобы догнать конкурента, занимающего лидирующее положение, либо не допустить в будущем отставания от конкурента, если тот разработал или разрабатывает новую перспективную технологию, а также чтобы выйти на новые для предприятия рынки. Это справедливо и в отношении межгосударственной конкуренции, где к вопросам экономической конкурентно способности добавляются и вопросы национальной безопасности. Основное отличие промышленного шпионажа от конкурентной разведки в том, что промышленный шпионаж нарушает нормы законодательства, прежде всего, уголовного, тогда как конкурентная разведка этого делать не может.

Данная модель включает в себя: собственные мощные вычислительные сети и каналы передачи данных с высокой пропускной способностью для выхода в Интернет; большие финансовые возможности; высокие знания компьютерных специалистов как самой компании, так и нанимаемых «под заказ». Возможны попытки подкупа сотрудников службы безопасности или иные действия из области социальной инженерии. Конкуренты могут предпринять серьезные усилия для получения сведений функционирования системы информационной защиты, в том числе внедрить своего представителя в службу безопасности. Среди целей могут быть: блокирование функционирования информационной системы конкурента, нанесение подрыва в имидже, деструктивные действия, направленные на причинение непоправимого ущерба конкуренту, вплоть до его разорения и банкротства. Для этого используются самые изощренные методы проникновения в информационные системы и воздействия на потоки данных в ней. Действия конкурентов могут носить как скрытый, так и открытый, демонстративный характер. При осуществлении своих намерений конкурирующая сторона бьется до победного конца.

Самым серьезным киберпреступником является государственная разведка ведомственного уровня, а также спецслужбы различных государств. Они обладают практически неограниченными вычислительными и финансовыми возможностями, самостоятельно регулируют и контролируют трафик в сети Интернет. На их службе состоят самые высокопрофессиональные компьютерные специалисты. В некоторых странах известны примеры, когда вместо тюремного заключения или после него известного хакера берут в службу национальной безопасности. Эти специалисты участвуют в разработке стандартов по безопасности информации, сетевых протоколов и досконально знают возможности и недостатки всех компьютерных технологий. В процессе сертификации вычислительной системы представители ведомственных органов могут получать достаточно полную информацию о ее построении. Цели, преследуемые такой группой, весьма разнообразны и их невозможно предугадать заранее. Подобные преступные элементы могут не утруждать себя сокрытием своих действий и, как уже говорилось, практически ничто неспособно их остановить. Они могут пользоваться поддержкой как законодательных, так и иных правовых актов, а также опекой органов исполнительной и судебной власти.

В таблице 2.1 сгруппирована сравнительная характеристика рассмотренных моделей типового киберпреступника.

Таблица 2.1 Сравнительная характеристика моделей типового киберпреступника

В данной главе проведена классификация источников угроз в киберпреступности, классификация киберпреступности по способу воздействия, по наличию насилия и по размеру вреда. На основе проведенной классификации, можно построить функциональную модель киберпреступлений.

киберпреступление компьютерный модель

3. Модели киберпреступлений

В этой главе поэтапно описаны действия киберпреступника, проведено моделирование киберпреступления в общем и в частных порядках.

Вполне очевидно, что все киберпреступления совершаются по какой-то определенной модели, что существуют определенные этапы, через которые обязательно необходимо пройти злоумышленнику при совершении противоправных действий (например, изучение объекта атаки, получение доступа к объекту, кража информации и заметание следов).

Все модели совершения киберпреступлений в общей части содержат три этапа: изучение жертвы, атака на жертву и сокрытие следов киберпреступления. Каждый из этапов содержит по три стадии: рекогносцировка, сканирование, составление карты, получение доступа к системе, расширение полномочий, кража информации, уничтожение следов, создание «черных ходов» и отказ в обслуживании. Однако у всех имеющихся моделей киберпреступлений имеется множество недостатков, касающихся отображения процессов формирования связей, управлений и механизмов, а также среды их возникновения.

Разработка этого материала стимулировалась отделом «К» МВД РТ и руководителем дипломного проекта. По вопросу моделей киберпреступлений очень мало материала, как российских, так и зарубежных авторов, кроме того, данный материал предназначен только для служебного пользования. Методы создания моделей МВД РТ полностью не раскрывает.

Поскольку после каждого шага злоумышленника рождаются все новые следы, ущерб соответственно становится специфическим. Тщательно исследуя ущерб и проводя обратные действия с объектом атаки, возможно реконструировать само киберпреступление буквально по шагам.

Так, например, если в ходе анализа узнается, что злоумышленник периодически похищал конфиденциальную информацию с закрытого источника в сети, становится очевидным, что он не мог провернуть этого без первоначального получения доступа к сети объекта, без увеличения полномочий в данной сети, без сканирования информационных ресурсов и без зомбирования объекта (исключения составляют инсайдеры). Информация обо всем этом непременно должна остаться в файловых журналах серверов, тщательное изучение которых вполне может указать непосредственно на злоумышленника.

Если в ходе изучения фактов узнается, что особо ценная информация уничтожена общеизвестными вредоносными программами, которые не могли проникнуть на объект, вследствие наличия на последнем межсетевого экрана, то необходимо уделить особое внимание открытым каналам передачи данных (флеш-накопители, компакт-диски и т.п.), а также произвести поиск приватных кодов. Подозрения могут в этом случае пасть на упакованные исполняемые файлы в системных папках операционной системы, которых просто там быть не должно.

Или, например, если становится известным, что злоумышленник модифицировал данные в определенной базе данных, то стоит уделить внимание модифицированным в этот период записям, в результате чего можно определить круг учетных записей, под которыми был получен несанкционированный доступ. Также стоит уделить внимание системным журналам базы данных, в которых может остаться информация о том. под какой учетной записью пытался получить доступ злоумышленник и был ли пароль взломан грубым перебором или был уже заранее известен. Из анализа проведенных злоумышленником изменений можно определить уровень его познаний в области этой базы данных и сузить крут подозреваемых лиц.

Только четкое представление проводящего анализ специалиста о том, что все кибепреступления совершаются в определенной последовательности, а также о том, какие следы рождаются в процессе информационного взаимодействия на разных стадиях, позволят ему взглянуть на имеющиеся факты получения несанкционированного доступа к охраняемой информации комплексно и адекватно.

3.1 Общая модель совершения киберпреступления

Рис.3.1 Моделирование кибепреступления

В качестве «нулевого» приближения для моделирования выбрана схема действий для совершения киберпреступлений предложенная зарубежными исследователями Макклуре С. Скембрэй Дж., Курти Дж.[13]. Поэтапно описано функционирование схемы, рассмотрены методы прохождения стадий.

рис.3.2 Функциональная модель киберпреступления

3.1.1 Информационный обмен

Информационный обмен является необходимым динамическим компонентом информационной системы.

Информационный обмен состоит из нескольких стадий: обмен данными, рекогносцировка, сканирование, составление карты.

На стадии обмена данными злоумышленник узнает о существовании объекта атаки, у него появляется мотив для совершения преступления, а также формируются цели и перечень задач. Математическая зависимость информационного обмена может быть представлена: А1 = , где А1 — результат информационного обмена, I1 — первичные данные, С1 — методы и средства получения конфиденциальной информации, M1- Социум, программное и аппаратное обеспечение, O1 — итоговая мотивация, O2 — сформированные задачи, O3 — конечные цели. Далее он на стадии рекогносцировки проводит исследование объекта, где выясняет, какие уязвимости в системе защиты объекта существуют. Затем на стадии сканирования он проверяет, какие вероятные уязвимости в системе защиты доступны. После этого он переходит на стадию составления карты и проводит графическое или принципиальное моделирование объекта с целью определения последующих мероприятий и отработки эффективной схемы нападения. До данного момента все действия злоумышленника не нарушают законодательство РФ и других стран, а потому данная часть модели встречается во многих видах компьютерных преступлений. На рис.3.3 подробно описан этап информационного обмена.

Рис. 3.3 Этап информационного обмена

Прежде чем злоумышленник добьется успеха, он должен пройти все эти этапы. Рассмотрим подробно каждый из этапов[13].

Рекогносцировка т.е. искусство сбора информации о цели. Преступники не начнут грабить банк с того, что просто зайдут и потребуют деньги. Предварительно преступники соберут информацию о банке: маршруты бронированных инкассаторских машин, время перевозки денег, расположение видеокамер, количество кассиров, запасные выходы и все прочее, что необходимо знать для успешного осуществления преступной авантюры.

То же самое справедливо для нападающих на компьютерные системы. Злоумышленникам нужно собрать множество информации, чтобы произвести хирургически точную атаку (ту, которая не будет мгновенно перехвачена). В силу этого атакующие должны собрать максимально возможное количество информации обо всех аспектах компьютерной защиты организации. Сбор сведений завершается составлением карты потенциальных зон поражения, т.е. профиля имеющихся подсистем Интернета, удаленного доступа, интрасети и экстрасети. Придерживаясь структурированной методологии, атакующие могут систематически извлекать информацию из множества источников для составления точной карты зон поражения любой организации.

Систематическая рекогносцировка организации позволяет атакующим создать подробный профиль состояния ее компьютерной защиты. Комбинируя различные средства и технологии, злоумышленники могут выяснить для неизвестного объекта набор доменных имен, сетевых блоков и индивидуальных IP-адресов систем, непосредственно подключенных к Интернету. Существует множество методов разведки, но все они направлены в основном на поиск информации, связанной со следующими технологиями: Интернет, интрасеть, удаленный доступ и экстрасеть. В таблице 1.1 показаны технологии и информация, которую пытается найти любой атакующий.

Таблица 3.1 Технологии и основные сведения, выявляемые атакующими.

Кто является объектом, а кто субъектом?

Объект и субъект данного преступления одновременно просты и очень специфичны. Поэтому с ними необходимо познакомиться повнимательнее.

Так, под объектом как во многих других преступлениях понимают общественные отношения некоторых лиц.

Такие отношения складываются по поводу того, что граждане систематически используют компьютерную информацию, как в личных, так и в общественных целях.

Кроме того, объект данного преступления достаточно широк и помимо отношений под объектом понимает право на информацию и саму информацию не как предмет, а как явление.

Субъект же напротив, достаточно часто упоминается в уголовном кодексе Российской Федерации (УК РФ).

Конечно же, объектом может стать только дееспособный гражданин, ведь именно он своими действиями может приобретать права и нести обязанности. К недееспособным гражданам подобное утверждение не относится.

Помимо дееспособности, необходимо чтобы гражданин был наделен правоспособностью. Правоспособностью не наделены не граждане нашей страны.

Что такое правоспособность? Это, конечно же, умение распоряжаться своими правами и обязанностями. Дается правоспособность от рождения и заканчивается смертью.

Возраст субъекта не должен быть меньше шестнадцати лет. Конечно, в ряде преступлений возраст субъектов подходит к совершеннолетию, однако это не тот случай.

Чем обусловлены сложности расследования

Обычные преступления не так сложно расследовать, ибо результат незаконных действий «на лицо», и потерпевшая сторона находилась на момент совершения деяния в одном месте с виновником. Этого нельзя сказать про киберпреступность, где порой даже трудно выявить состав преступления, не говоря уже про то, чтобы найти виновника.

Исследователи выделяют следующие причины, из-за которых подобные деяния раскрывать в разы сложнее, чем те, к которым цивилизация уже привыкла:

• Максимальная латентность преступных деяний. Порой спецслужбы оказываются не в состоянии даже усмотреть сам факт правонарушения. Это актуально для таких ситуаций, когда речь идёт о взломе какой-то важной базы данных. Злоумышленники могут свободно получить какую-то скрытую информацию, и об этом никто не будет знать, во всяком случае до того момента, как полученные сведения начнут использоваться.
• Масштабы преступлений могут быть очень крупными. Условный студент из провинции может взломать базу данных банка и изъять со счетов клиентов миллионы. Подобное масштабное деяние может совершить один человек.
• Транснациональная составляющая. Иными словами, преступник, совершивший преступление в России, сам может быть из любой точки земного шара. В данном аспекте процесс глобализации несет негативное влияние.
• Высокая образованность (в определенной стезе) преступников. Хакеры, как правило, обладают незаурядным интеллектом, поэтому с ними крайне сложно бороться.
• Практически невозможно составить портрет преступника. В обычных уголовных расследованиях психологи совместно со следователями могут составить приблизительный образ нарушителя по составу совершенного им деяния. Зачастую эти портреты оказываются верными. С киберпреступлениями таких возможностей у розыскной группы нет, нарушителем может быть любой человек, которого никак нельзя охарактеризовать по гендерному или иному признаку.
• Устойчивая тенденция популярности совершения подобных деяний. Сегодня киберпреступления воспринимаются социумом не как пресечение черты закона, а как нечто увлекательное и интересное. Поэтому динамика роста подобных правонарушений огромна, и порой просто не хватает количественно представителей правоохранительных структур для борьбы с ними.
• Практически полное отсутствие законодательных актов, которые бы регулировали процессуальные действия. Также плохо разработаны принципы доказательств вины (инструменты анонимности позволяют скрываться преступникам).
• Несовершенство технологий борьбы с преступлениями. Простыми словами – технологии, с помощью которых можно скрыться, значительно превосходят по своему уровню технологическую базу правоохранительных структур.

Киберпреступность – это относительно новый вид незаконных деяний, социум к нему ещё не успел подготовиться. Методы расследования обычных преступлений разрабатывались сотни лет. Очевидно, что обществу необходимо время, чтобы научиться эффективно раскрывать киберпреступления. В настоящий момент технологии шифрования значительно опережают имеющиеся методы расследования.

Понятие киберпреступности

Киберпреступность — это преступность в так называемом виртуальном пространстве. Виртуальное пространство, или киберпространство можно определить как моделируемое с помощью компьютера информационное пространство, в котором находятся сведения о лицах, предметах, фактах, событиях, явлениях и процессах, представленные в математическом, символьном или любом другом виде и находящиеся в процессе движения по локальным и глобальным компьютерным сетям, либо сведения, хранящиеся в памяти любого реального или виртуального устройства, а также другого носителя, специально предназначенного для их хранения, обработки и передачи.
Термин «киберпреступность» включает в себя любое преступление, которое может совершаться с помощью компьютерной системы или сети, в рамках компьютерной системы или сети или против компьютерной системы или сети. Преступление, совершенное в киберпространстве, — это противоправное вмешательство в работу компьютеров, компьютерных программ, компьютерных сетей, несанкционированная модификация компьютерных данных, а также иные противоправные общественно опасные действия, совершенные с помощью или посредством компьютеров, компьютерных сетей и программ.

Способы борьбы на государственном уровне

Поскольку действия киберпреступников легко преодолевают границы между государствами, то и борьба с ними должна иметь международный характер. Конечно, нужны и национальные программы по противодействию таким правонарушителям. В России для решения этих проблем уже в 1992-м году было создано Бюро специальных технических мероприятий МВД. Представители этой организации учатся в технических ВУЗах, а также проходят подготовку в крупных IT-компаниях.

Помимо расследования преступлений и поимки злоумышленников, это Бюро занимается профилактикой киберпреступности и повышением грамотности людей в этой сфере.

Расследование действий злоумышленников в компьютерной сфере осложняется потому, что:

• Правоохранителям нужно специальное образование в компьютерной сфере;
• Поскольку техника хакеров постоянно совершенствуется, то важен опыт в борьбе с ними, а для этого нужен обмен с другими специалистами из разных стран;
• Поскольку преступник и жертва могут быть в разных странах, то и расследование преступления требует сотрудничества правоохранительных систем обоих государств;
• У преступников есть возможность выбирать в какой из стран, занятых расследованием их преступлений, их будут судить. То есть они могут выбрать наиболее лояльную в плане законодательства страну.

Почему так сложно расследовать киберпреступления?

Сложностей в расследовании таких преступлений очень много:

• Скрытность преступников. Многие их действия не только не раскрываются, но даже не учитываются статистикой;
• Транснациональный характер злодеяний;
• Крупные масштабы ущерба;
• Высокая квалификация преступников в сфере компьютерных технологий;
• Рост количества таких преступлений;
• Юридические и технические проблемы, связанные с необходимостью использования специального оборудования и навыков в сфере компьютерных технологий, а также необходимость разработки международных документов и сотрудничества при расследовании киберпреступлений;
• Сложность сбора доказательств в Интернете, так как преступники могут их быстро уничтожать.

Способы борьбы на государственном уровне

Как уже отмечалось, киберпреступность не признает границ и не ограничивается рамками одного государства, а, следовательно, эффективное противодействие ей возможно только на уровне международного сотрудничества.

Разработка национальных систем борьбы с данным видом преступности, безусловно, необходима, но локальное расследование киберпреступлений усложняется по нескольким причинам:

• требуется специфическое образование и опыт;
• часто преступник и жертва находятся в разных странах, а следственные действия правоохранительных органов как раз ограничены пределами одного государства;
• преступники имеют возможность выбрать наиболее лояльную правовую систему.

Говоря о России, стоит отметить, что в нашей стране с 1992 года существует Бюро специальных технических мероприятий МВД России.

Похожие записи:

• Что делать, если сняли деньги за чужой штраф ГИБДД?
• Как получить отсрочку от армии
• Виза в ОАЭ для граждан Украины в 2023 году