О природе возникновения и особенностях борьбы с вирусами я рассказывал в статьях:
В этой статье речь пойдёт о расследовании преступлений связанных с созданием, использованием и распространением вредоносного ПО.
Очень часто подобные правонарушения попадают в поле деятельности Управления "К" МВД России. Согласно части 1 статьи 273 УК РФ преступление классифицируется, как:
1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, -
наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
Расследование фактов использования компьютерных вирусов (КВ)
Понятие правонарушения
Правонарушение - общественно опасное, виновное, противоправное деяние влекущее за собой правовую ответственность.
Согласно этой схеме сотрудники правоохранительных органов проводят ряд оперативно-розыскных и обеспечительных мероприятий.
Установление факта и способа использования вредоносной компьютерной программы
Обычно такие программы обнаруживаются после фиксации вредоносных последствий их деятельности, но иногда программы можно обнаружить в ходе антивирусной проверки перед началом работы за компьютером, получения результатов межсетевой антивирусной фильтрации или результатов работы фильтров трафика электронной почты.
Данные таких проверок могут фиксироваться документально и предоставляться в правоохранительные органы.
В крупных компаниях, которые предварительно могут провести внутренне расследование с целью установления распространителей компьютерных вирусов среди своих сотрудников устанавливается, что:
- вредоносная программа создаётся сотрудником в рабочее время, на одном из рабочих мест компьютерной системы выбранной для заражения и маскируется под правомерно разрабатываемое ПО. После внедрения КВ сотрудник-диверсант может уволиться или перейти на другую должность, дожидаясь активизации вируса
- вредоносная программа вносится в компьютерную систему в результате ошибочных действий сотрудников
- программа-злоумышленник создаётся вне компьютерной системы, на которую она ориентирована. В этом случае под подозрение могут попасть все сотрудники, имеющие доступ к информации необходимой для создания КВ.
Чтобы подтвердить подозрения в отношении некоторых лиц, службой безопасности или правоохранительными органами проводятся обыски рабочих мест, при наличии соответствующих санкций, места жительства подозреваемого, с участием экспертных специалистов в компьютерной сфере.
Факт использования вредоносного ПО могут установить:
- с помощью отчетов антивирусной системы и сопоставления с журналами использования компьютерной техники пользователями
- по результатам допроса подозреваемого, в течение которого устанавливаются факты использования КВ, наличия навыков необходимых для создания КВ и другие сведения
- по результатам допроса свидетелей, которые могут предоставить сведения о том, какая информация подвергалась заражению, кто получал доступ к ресурсам компьютерной системы, и как осуществлялся учёт пользователей.
- по результатам проведения компьютерно-технической экспертизы, которая может установить все вредоносные изменения в коде компьютерной системы с привязкой к временной шкале и установлению истинных инициаторов преступных воздействий.
Орган дознания может проводить проверку лиц ранее привлекавшихся к ответственности за аналогичные преступления. При установлении подозреваемого, его задерживают для предотвращения действий по уничтожению материалов, доказывающих совершённое преступление.
Проверяются все факты подтверждающие наличие состава правонарушения:
Документируется состояние объекта заражения, учитываются все инструменты совершения преступления, определяется факт наличия вины, устанавливаются дополнительные обстоятельства преступления и определяется экспертным путём размер причинённого ущерба.
Экспертиза вирусозависимых компьютерных инцидентов (ВКИ)
Существуют независимые экспертные компьютерные службы, которые могут помочь в проведении внутренних расследований и определении размера причинённого ущерба.
Одной из таких компаний является DrWeb, предлагающая:
Услуги по расследованию вирусозависимого компьютерного инцидента
Предварительная оценка инцидента, объема экспертизы и мер, необходимых для устранения последствий произошедшего.
Экспертные исследования компьютерных и других артефактов (накопителей на жестких магнитных дисках, текстовых, звуковых, фото-, видеоматериалов), предположительно имеющих отношение к ВКИ.
Не имеет аналогов! Психологическая экспертиза личностей (персонала) с целью выявления фактов причастности к совершению / пособничеству / укрывательству / поощрению противоправных действий в отношении заказчика (комплексное определение рисков), а также фактов бездействия или халатного отношения к служебным обязанностям.
Рекомендации по вопросам построения системы антивирусной защиты с целью недопущения ВКИ или сокращения их количества в будущем.
Все исследования производятся с соблюдением требований действующего законодательства РФ.
Обращение в правоохранительные органы нужно для оперативного реагирования и предотвращения уничтожения доказательств преступления, установления местонахождения подозреваемых лиц и приглашения их для допроса.
Не всегда возможно досудебное урегулирование ситуаций и может возникнуть необходимость заведения уголовного дела.
В настоящее время, как со стороны преступников, так и со стороны правоохранительных органов выступают хорошо подготовленные специалисты, что в значительно мере усложняет процесс оперативно-розыскной деятельности и обеспечение доказательствами.
автор публикации: Демешин С.В.