Практика свідчить, що зареєстровані комп'ютерні злочини виявляються, в основному, таким чином: 1. В результаті регулярних перевірок доступу до даних службами інформаційної безпеки (31%); 2. За допомогою агентурної роботи, а також при проведенні оперативних заходів по перевіркам заяв громадян (28%); 3. Випадково (19%); 4. В ході проведення бухгалтерських ревізій (13%); 5. В ході розслідування інших видів злочинів (10%).
У зв`язку з відсутністю достатньої слідчої практики в розкритті та розслідуванні злочинів у сфері комп`ютерної інформації, в оперативних співробітників та слідчих виникає багато труднощів при кваліфікації таких злочинів на стадії порушення кримінальної справи.
Існує багато особливостей, які повинні враховуватися при проведенні таких окремих слідчих дій, як огляд місця події, обшук та виїмка речових доказів, допит потерпілих і свідків, призначення програмно-технічної експертизи. Для того, щоб фактичні дані були визнані доказами, вони повинні бути отримані з джерел із дотриманням правил. Слідчому-юристу не відомі всі тонкощі роботи з комп'ютерною технікою, тому розслідування "комп'ютерних" необхідно проводити із залученням фахівця в даній області. Необхідність цього підтверджується і досвідом роботи правоохоронних органів інших країн. Розглянемо детальніше отримання "інформації для доказу" при розслідуванні злочинів у сфері комп`ютерної інформації. Огляд місця події. Після прибуття на місце події слідчо-оперативній групі потрібно вжити заходів по охороні місця події та забезпеченню збереження інформації на комп'ютерах і периферійних запам`ятовуючих пристроях (ПЗП). Для цього необхідно:
· заборонити доступ до комп`ютерної техніки працюючого на об'єкті персоналу;
· персоналу об'єкта заборонити вимикати електропостачання комп`ютерної техніки;
· у випадку, якщо на момент початку огляду місця події, електропостачання об'єкту вимкнено, то до його відновлення потрібно відключити від електромережі всю комп'ютерну техніку, яка знаходиться в приміщені, що оглядається;
· не виробляти ніяких маніпуляцій з засобами комп'ютерної техніки, якщо їх результат заздалегідь невідомий;
· при наявності в приміщенні, де знаходиться комп`ютерна техніка, небезпечних речовин, матеріалів або обладнання (електромагнітних, вибухових, токсичних, тощо) видалити їх в інше місце.
Після вживання вказаних вище невідкладних заходів можна приступати до безпосереднього огляду місця події і вилучення речових доказів.
Обшук і виїмка речових доказів. Тут виникає ряд загальних проблем, пов'язаних зі специфікою технічних засобів, що вилучаються. Так, необхідно передбачати заходи безпеки, що здійснюються злочинцями з метою знищення речових доказів. Наприклад, вони можуть використати спеціальне обладнання, в критичних випадках утворююче сильне магнітне поле, що стирає магнітні записи. Відома історія про хакера, який створив в дверному отворі магнітне поле такої сили, що воно знищувало магнітні носії інформації при винесенні їх з його кімнати. Злочинець має можливість включити до складу програмного забезпечення своєї машини програму, яка примусить комп'ютер періодично вимагати пароль, і, якщо декілька секунд правильний пароль не введений, дані в комп'ютері автоматично нищаться. Винахідливі власники комп'ютерів встановлюють іноді приховані команди, що знищують або архівують з паролями важливі дані, якщо деякі процедури запуску машини не супроводяться спеціальними діями, відомими тільки їм. Аналіз та вилучення інформації у комп'ютері здійснюється, як в оперативному запам'ятовуючому пристрої (ОЗП), так і на периферійних запам'ятовуючих пристроях (ПЗП) - накопичувачах на жорстких магнітних дисках, оптичних дисках, дискетах, магнітних стрічках та ін. Слід пам`ятати, що при вимкненні персонального комп'ютера або закінченні роботи з конкретною програмою ОЗП очищається, і усі дані, які знаходяться в ОЗП, знищуються. Найбільш ефективним і простим способом фіксації даних з ОЗП є виведення інформації на друкуючий пристрій (принтер). Як відомо, інформація в ПЗП зберігається у вигляді файлів, впорядкованих за каталогами. Потрібно звертати увагу на пошук так званих "прихованих" файлів і архівів, де може зберігатися важлива інформація. При виявленні файлів із зашифрованою інформацією або таких, які вимагають для перегляду введення паролів, потрібно направляти такі файли на розшифровку і декодування відповідним фахівцям. Речові докази у вигляді ЕОМ, машинних носіїв вимагають особливої акуратності при вилученні, транспортуванні та зберіганні. Їм протипоказані різкі кидки, удари, підвищені температури (вище кімнатних), вогкість, тютюновий дим. Всі ці зовнішні чинники можуть спричинити втрату даних, інформації та властивостей апаратури. Не треба забувати при оглядах і обшуках про можливості збору традиційних доказів, наприклад, прихованих відбитків пальців на клавіатурі, вимикачах та ін. Огляду підлягають всі пристрої конкретної ЕОМ. Дана дія при аналізі її результатів з участю фахівців допоможе відтворити картину дій зловмисників і отримати важливі докази.
Отже, підвищенню роботи органів внутрішніх справ у сфері "комп`ютерних" злочинів сприяють:
1. Успішне проведення розслідувань злочинів в сфері комп`ютерної інформації, починаючи зі стадії порушення кримінальної справи, є можливим тільки при обов`язковій участі фахівця в області комп`ютерної техніки;
2. Фахівці в області комп`ютерної техніки повинні бути штатними співробітниками криміналістичних підрозділів системи МВС України. Вони повинні знати сучасне апаратне та програмне забезпечення автоматизованих систем, можлі канали витоку інформації і несанкціонованого доступу в АС та способи їх розслідування;
3.Підготовка фахівців для розслідування злочинів в сфері комп`ютерної інформації повинна здійснюватись у вищих юридичних закладах України шляхом введення відповідної спеціалізації за напрямком (професійним спрямуванням) Право. [6, 7]
Кримінальний Кодекс України. Розділ XVI. Злочини у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж и мереж електрозв’язку
(Розділ із змінами, внесеними згідно із Законом України від 05.06.2003 р. N 908-IV)
1. Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, що призвело до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації, - карається штрафом від шестисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк від двох до п'яти років, або позбавленням волі на строк до трьох років, з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до двох років або без такого та з конфіскацією програмних та технічних засобів, за допомогою яких було вчинено несанкціоноване втручання, які є власністю винної особи.
2. Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, - караються позбавленням волі на строк від трьох до шести років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років та з конфіскацією програмних та технічних засобів, за допомогою яких було вчинено несанкціоноване втручання, які є власністю винної особи.
Примітка. Значною шкодою у статтях 361 - 363 1 , якщо вона полягає у заподіянні матеріальних збитків, вважається така шкода, яка в сто і більше разів перевищує неоподатковуваний мінімум доходів громадян.
(У редакції законів України від 05.06.2003 р. N 908-IV, від 23.12.2004 р. N 2289-IV)
Розглянемо, що ж криється за цим формулюванням. По-перше, одержання неправомірного доступу до інформації, що зберігається в пам'яті ЕОМ або на магнітному, або іншому носії, має на увазі визначену, а з огляду на останній розвиток комп'ютерної техніки й інформаційних технологій, і посилену підготовку в області комп'ютерної технології. Це дає нам знання в змісті загальної оцінки особистості комп'ютерного злочинця. Він технічно підготовлений, має набір методів, що дозволяють йому підбирати "ключі" практично до будь-яких "електронних" замків. У більшості випадків - це випускник (або студент старших курсів) технічного Вузу, що має постійний доступ до ЕОМ (в основному, будинку), що обертається у визначених колах (серед таких же "закручених" на комп'ютерних технологіях "особистостей"). Загальна вікова межа - 15-45 років (випадки прояву комп'ютерних злочинців старше 45 років не зареєстровані; можливо, це говорить про те, що з віком вони або стають настільки професійними, що припинення їхньої діяльності стає просто неможливим, або вони просто "стають розсудливішими").