Текст книги "Расследование преступлений в сфере компьютерной информации в Российской Федерации и зарубежных странах"

5) создание, использование и распространение вредоносных программ, в том числе, с использованием вредоносных компьютерных сетей, с помощью которых организуются компьютерные атаки типа DDoS (бот-сети);

6) комплексные способы¹⁰⁰.

Анализ отечественных и зарубежных источников позволил нам классифицировать следующим образом современные способы совершения преступлений в сфере компьютерной информации:

1) аппаратные (модификации оборудования);

2) программные способы (использование легального и вредоносного программного обеспечения с целью реализации преступного умысла, сокрытия следов преступления);

3) смешанные (например, использование инфраструктуры компьютерных сетей, в том числе, для распространения и доставки вредоносных программ в систему; способы с использованием методов социальной инженерии и др.).

При этом еще раз отметим абсолютную идентичность непосредственных способов совершения преступных посягательств как в России, так и в зарубежных странах¹⁰¹.

К современным аппаратным способам несанкционированного доступа к компьютерной (цифровой) информации, хранящейся на смартфоне, можно отнести, например, изготовление искусственных отпечатков пальцев для аутентификации в системе смартфона. Для этого могут использоваться традиционные методы подделки оттисков печатей (фотополимерный способ, лазерное гравирование на резине, флеш-технологии и др.), а также обычные фотографии с высоким разрешением, что продемонстрировал Ян Крисслер (также известный как Starbug) в 2014 г. в Германии на конференции Chaos Communication Congress: с фотоснимка большого пальца сделанного на расстоянии трех метров с помощью программы для создания копий отпечатков пальца по фотографиям VeriFinger¹⁰² было получено изображение, которое в последующем можно нанести на искусственно созданный палец¹⁰³.

Программные способы совершения преступлений в сфере компьютерной информации включают в себя как создание, распространение и эксплуатацию вредоносного ПО¹⁰⁴, так и модификацию легального ПО и даже прямое использование такого ПО в случае, если оно удовлетворяет требованиям злоумышленника и способствует реализации его замысла.

Понятие вредоносного ПО подробно исследовано в теории уголовного права и криминалистики¹⁰⁵. Чтобы быть признано таковым оно должно соответствовать следующим критериям:

1) программа способна уничтожать, блокировать, модифицировать либо копировать компьютерную информацию или нейтрализовать средства защиты компьютерной информации;

2) программа не предполагает предварительного уведомления собственника, владельца или пользователя (обладателя) компьютерной информации, компьютерного устройства, информационной системы или информационно-телекоммуникационной сети о характере своих действий;

3) программа не запрашивает согласия (санкции) у собственника, владельца или пользователя (обладателя) компьютерной информации, компьютерного устройства, информационной системы или информационно– телекоммуникационной сети на реализацию своего назначения (алгоритма)¹⁰⁶.

Формы и виды вредоносного ПО приведены в литературных и иных источниках¹⁰⁷. Среди них можно выделить следующие группы: вирусы, черви, трояны, руткит, бэкдор (средство удаленного администрирования), загрузчики. В дополнение к перечисленным формам необходимо указать так называемые «смешанные угрозы», которые представляют собой комбинацию отдельных черт названных форм вредоносного программного обеспечения и других методов. Наиболее распространенные варианты смешанных угроз на данный момент – это боты¹⁰⁸ и ботнеты (сеть ботов), с помощью которых проводятся DDoS атаки¹⁰⁹, программы-вымогатели (ransomware), поддельные антивирусные программы (scareware). Так, программы-вымогатели позволяют брать данные пользователя «в заложники» и требовать за них выкуп. Если выкуп не выплачивается до определенного времени, данные уничтожаются, или, наоборот, разглашаются, если они конфиденциальные. Это произошло с крупной польской компанией-разработчиком компьютерных игр CD Projekt RED, которая, подвергшись атаке в феврале 2021 года, отказалась платить выкуп вымогателям, после чего разработки их продуктов были частично выложены в общий доступ, а частично – пошли на аукцион в Сети, что, конечно, очень негативно сказалось на деятельности студии¹¹⁰.

Совершение преступлений с использованием вредоносного ПО подтверждает и отечественная судебно-следственная практика: М., осужденный по ч. 1 ст. 273 УК РФ, обладая специальными познаниями в области работы с компьютерными программами, действуя умышленно, находясь по месту жительства, приобрел путем копирования с неустановленных интернет-ресурсов компьютерные программы, заведомо предназначенные для несанкционированного копирования компьютерной информации, после чего посредством принадлежащего ему компьютерного оборудования, а также находящихся в его пользовании хостинговых сервисов (серверов для хранения информации в сети Интернет) использовал указанные вредоносные компьютерные программы для заражения 50 компьютеров неустановленных пользователей сети Интернет и построения из них контролируемой сети, в результате чего без ведома и согласия указанных пользователей скопировал хранящуюся в памяти зараженных устройств компьютерную информацию, содержащую сведения о логинах и паролях авторизации пользователей на различных интернет-ресурсах, которую планировал использовать в личных целях.

Согласно заключению эксперта, на жестком диске персонального компьютера М. обнаружены комплексы вредоносного программного обеспечения, предназначенного для построения «ботнетов» («бот-сетей»), то есть сетей из зараженных соответствующим вирусом компьютеров, с возможностью удаленного копирования информации назначенным владельцем указанной сети без ведома пользователя и без получения его согласия на применение указанных программ. Работа обнаруженного на жестком диске вредоносного программного обеспечения построена на использовании вирусов типа «троян» («троянская программа»)¹¹¹.

В преступных целях может быть использовано и легальное ПО, например, программы для удаленного доступа к компьютеру, управления системой и ее администрирования¹¹². Преимущества такого способа реализации преступного замысла для злоумышленника заключаются в следующем:

а) такие программы определяются антивирусными программами как условно опасные (RiscWare), что снижает бдительность пользователей, так как они не видят в них особой угрозы;

б) многие из этих программ установлены самими пользователями или с их ведома, то есть являются доверенными программами, в силу чего не вызывают у них подозрений;

в) большинство используемых легальных программ являются лицензионными, постоянно совершенствуются разработчиками ПО, а значит, не требуют дополнительных усилий и средств на их доработку;

г) легальные программы обладают функциональными возможностями, позволяющими злоумышленнику достичь его преступных целей и, как правило, не требуют серьезных дополнительных модификаций.

Среди наиболее часто используемых преступниками легальных программ специалисты по компьютерной безопасности выделяют следующие: RMS, Ammyy Admin, TeamViewer, LiteManager¹¹³.

Также для реализации преступного замысла могут использоваться программы для выполнения аудита безопасности, проверки сетей и устройств на уязвимости. Так, например, П. из соображений любопытства и совершенствования своих навыков, с целью просмотра видеоизображений с камер наружного видеонаблюдения установил на свой ноутбук ПО «Router Scan», с помощью которого осуществил подбор регистрационных данных (логин и пароль) к оконечному оборудованию пользователей сети «Интернет», в результате чего получил доступ к более 100 удаленным системам видеонаблюдения, подключенным к компьютерам, находящимся на территории иностранных государств¹¹⁴.

Среди смешанных способов стоит также отметить те, которые строятся на применении социальной инженерии – способе получения несанкционированного доступа к информации, основанном на особенностях человеческой психологии, в частности, на том, как формируется доверие¹¹⁵. Самая распространенная атака этого типа сейчас – так называемый фишинг (fishing), связанный с «выуживанием» данных путем введения пользователя в заблуждение. Как правило, фишинг реализуется через письма, присылаемые на почту, со ссылками на сайты-клоны реальных организаций (например, банков или социальных сетей), где пользователь вводит свои данные (например, логин и пароль), после чего эта информация уходит к злоумышленнику. В 2020 году на фоне массового использования информационных технологий в рамках дистанционных форматов работы и обучения в период пандемии, фишинг вышел на новый виток популярности среди преступников, позволяя чрезвычайно эффективно атаковать слабо защищенный малый бизнес и отдельных лиц¹¹⁶.

Вместе с тем, проведенные нами изучение, обобщение и анализ литературных источников, посвященных способам совершения преступлений в сфере компьютерной информации, судебно-следственной практики по данной категории уголовных дел последних лет, свидетельствуют об их постоянном и очень быстром обновлении, что существенно усложняет деятельность правоохранительных органов по раскрытию преступлений. Более того, пугающая скорость появления инновационных криминальных «продуктов», просто не оставляет шансов следственным органам на результативность, если их деятельность не будет сбалансирована в технико-технологическом аспекте с криминальной деятельностью.

Однако, основное прикладное назначение способа совершения преступления как элемента криминалистической характеристики в предопределении следовой картины, которая непосредственно и приводят к раскрытию преступления. Как верно указывал Р. С. Белкин, «… способ совершения и сокрытия преступления, точнее – знание о нем, определяют путь познания истины по делу, т. е. метод раскрытия и расследования»¹¹⁷. Эту же мысль в своем диссертационном исследовании системно анализирует А. А. Бессонов¹¹⁸.

Основой доказывания по делам о преступлениях в сфере компьютерной информации выступают цифровые следы, научная концепция которых разрабатывается в настоящее время группой ученых-исследователей под руководством Е. Р. Россинской¹¹⁹. Они «представляют собой криминалистически значимую компьютерную информацию о событиях или действиях, отраженную в материальной среде, в процессе ее возникновения, обработки, хранения и передачи»¹²⁰. Близкое по сути определение цифровых следов предлагают наши зарубежные коллеги: к цифровым доказательствам (digital evidence) относятся данные в любом виде представления, которые можно извлечь из компьютерных систем для использования в доказывании, подтверждения либо опровержения проверяемых фактов и обстоятельств¹²¹.

К потенциальным носителям цифровых следов относятся:

а) персональные устройства (смартфоны, банковские карты, стационарные и планшетные компьютеры, ноутбуки, переносные электронные носители информации, например, флеш-накопители, персональные страницы в социальных сетях, включая инфраструктуру и пр.);

б) информационные системы (корпоративные и государственные ИС, охранные, банковские, платежные системы и пр.);

в) сетевая инфраструктура (локальные, региональные, корпоративные, ведомственные компьютерные сети, Интернет, сетевая инфраструктура, облачные технологии, навигационные системы);

г) системы информационной безопасности (системы идентификации и аутентификации, антивирусное программное обеспечение и др.);

д) технологические устройства фиксации в правоохранительной деятельности (системы видеонаблюдения, устройства фиксации деятельности правоохранительных органов (worn camera), системы криминалистической регистрации, биометрические системы, устройства, применяемые в оперативно-розыскной деятельности и пр.)¹²².

Цифровые следы могут быть обнаружены:

– на рабочем месте преступника (стационарный компьютер, ноутбук, носители цифровой информации, средства связи, записи и пр.);

– на месте происшествия (например, в компьютерной системе, подвергшейся атаке);

– в сетевых ресурсах преступника (в рамках локальных или глобальной сети);

– в каналах связи преступника (сетевой трафик);

– в легальных сетевых ресурсах, используемых в преступной деятельности (почтовых серверах, вычислительных мощностях провайдеров хостинга, ресурсах провайдера по предоставлению доступа в Интернет и пр.).

Цифровые следы существуют в виде дамп оперативной памяти и дамп трафиков, файлы и их обрывки, создаваемая программными и аппаратным средствами их получения служебная информация об этих файлах, располагающиеся на материальных носителях информации в виде цифровых кодированных последовательностей¹²³. Наиболее распространенная их форма – лог-файлы. Лог – это журнал автоматической регистрации событий в рамках какой-либо программы или сети. Почти любое действие в рамках информационной системы может отражаться в лог-файле¹²⁴. Их источниками в сетевых ресурсах сети Интернет могут быть:

1) провайдеры хостинговых услуг: в частности, лог-файлы подключений к сетевому ресурсу и статистические данные учета сетевого трафика, свидетельствующие о сетевой активности пользователей;

2) цифровые копии содержимого серверов и облачных хранилищ данных¹²⁵.

Однако, как подчеркивает А. И. Семикаленова, такая информация доступна для восприятия человека только посредством использования специализированных программных и аппаратных средств, осуществляющих декодирование и визуализацию в привычной графической, текстовой или звуковой форме, и могут быть получены и интерпретированы в полном объеме и без изменения содержания только с использованием специальных знаний¹²⁶.

Изучение лог-файлов подключений к серверу позволяет выявить сетевые адреса пользователей ресурса, установить их личности в том случае, если пользователем не были применены техники, позволяющие анонимизировать его в Сети. В ходе исследований копий содержимого серверов и облачных хранилищ могут быть найдены экземпляры использовавшихся злоумышленником вредоносных программ, сетевые реквизиты пользователей (например, данные учетных записей, IP-адреса подключений, адреса других серверов сетевой структуры). Именно эта информация поможет установить, например, сетевые адреса серверов, с которых распространялись или управлялись вредоносные программы, форумов для общения компьютерных преступников, виртуальных обменных и платежных систем.

При исследовании цифровых следов в сети В. Б. Вехов предлагает введение термина «дорожка электронных следов», аналогично трасологическим, которая обозначает систему образования следов в информационно-телекоммуникационных сетях, состоящую из нескольких последовательно расположенных по времени и логически взаимосвязанных записей о прохождении компьютерной информации по линиям связи через коммутационное оборудование оператора(–ов) связи от компьютера преступника до компьютера потерпевшего¹²⁷. На наш взгляд, такая интерпретация вполне логична и оправданна.

Несмотря на большое разнообразие способов совершения преступлений в сфере компьютерной информации, источники криминалистически значимой информации будут примерно одни и те же при любом из них. В частности, это будут разного рода идентификаторы, позволяющие установить конкретное устройство или точку соединения (например, IP или MAC¹²⁸ адреса, IMEI¹²⁹, ICCID¹³⁰ и др.), лог-файлы, данные, предоставляемые провайдерами (например, сетевой трафик и его статистика, сведения о соединениях, лог-файлы подключений и пр.), и данные, содержащиеся на носителях и непосредственно воспринимаемые следователем (фото, видео, текстовые файлы, переписки, установленные программы и приложения и пр.).

К стандартным местам их нахождения относятся:

а) постоянное и оперативное запоминающее устройства компьютера;

б) оперативные запоминающие устройства периферийных устройств;

в) внешние носители цифровой информации (например, флеш-карты, съемные жесткие диски и пр.);

г) сервера (локальных или глобальной сети);

д) облачные хранилища.

Не умаляя значения цифровых следов, при расследовании преступлений в сфере компьютерной информации не стоит забывать и о традиционных – трасологических, биологических и пр., месторасположение которых обусловлено механизмом их следообразования.

Способ совершения преступления и личностные характеристики субъекта находятся в неразрывной связи с иными обстоятельствами, подлежащими доказыванию, являющимися элементами криминалистической характеристики – личностью потерпевшего, обстановочными факторами (местом, временем и др.).

Виктимологический аспект является важной составляющей криминалистической характеристики. Вместе с тем, ему уделено много меньше внимания по причине высокой латентности преступлений в сфере компьютерных технологий и частой обезличенности потерпевшего.

При этом выбор жертвы напрямую зависит от мотивации преступника и его целей. Так, если речь идет о корыстном мотиве, то чаще всего непосредственной атаке подвергается не сам человек (за исключением атак, основанных на социальной инженерии), а информационная система – компьютер или их сеть. Соответственно, при выборе цели преступник ориентируется не на личностные или демографические характеристики потенциальной жертвы, а на размер потенциального выкупа, состояние и уровень защищенности компьютерной системы и пр. Также при совершении преступных деяний из хулиганских побуждений, четкие связи субъекта с потерпевшей стороной не прослеживаются.

Например, пользователь социальной сети «ВКонтакте» под псевдонимом «Артур Амаев», который позиционирует себя как «стример», присоединялся к обучающим онлайн-трансляциям школьников, разыгрывал их, при этом вел себя вызывающе, хамил, фактически срывал проводимые дистанционным образом учебные занятия, в связи с чем было возбуждено уголовное дело по признакам преступления, предусмотренного ч. 1 ст. 272 УК РФ¹³¹.

Однако, если ведущим мотивом выступает месть, личная неприязнь, устранение конкурентов, то личное знакомство с преступником, социальные связи потерпевшего играют ключевую роль. Так, например, г-н П. был осужден по ч. 2 ст. 272 УК за то, что, будучи уволенным за прогулы, осуществил неправомерный доступ к компьютерной информации организации, где работал до увольнения, что повлекло уничтожение программного обеспечения Microsoft Server 2012, Microsoft Lync 2013, 1С Бухгалтерия, 1С Торговля и др., вследствие чего была безвозвратно уничтожена информация о хозяйственно-финансовых отношениях с контрагентами, об объеме и периодичности товарооборота, финансовые показатели деятельности организации, финансовая, бухгалтерская и налоговая отчетность и причинен существенный ущерб¹³². Или: В., являясь генеральным директором ЗАО «Х», с целью создания условий для разрыва деловых отношений, установленных между ОАО «А» и ООО «А» по оказанию обществом услуг по продаже электронных авиабилетов ОАО «А», и устранения конкурента своей фирмы в данной сфере, принял решение дискредитировать ООО «А» как надежную фирму. Для этого В., вступив с подчиненным ему ведущим специалистом службы информационной безопасности ЗАО «Х» П., а также И. и Д., занимавшихся оказанием «хакерских услуг», в предварительный сговор, и действуя согласно единого преступного плана и отведенных каждому участнику группы ролей, осуществили компьютерную DDoS-атаку (типа «отказ в обслуживании») на информационные ресурсы ООО «А». Осуществление данной компьютерной атаки привело к блокированию работы системы оплаты и приобретения электронных билетов на сайте ОАО «А» на весь период атаки¹³³.

Анализ отечественных, зарубежных литературных и иных источников, судебно-следственной практики в ракурсе виктимологии показал, что в качестве потерпевших по данной категории дел могут выступать: государство в лице органов государственной власти и управления, организации и предприятия всех форм собственности, физические лица. При этом выделим пугающие тенденции последних лет:

– глобальность характера кибератак и их последствий (например, в ходе атаки на инфраструктуру водоснабжения и канализации в Израиле хакеры планировали изменить концентрацию хлора в подаваемой в жилые дома воде, что привело бы к массовому отравлению, инцидент с отключением электроэнергии из-за кибератаки в Индии сказался на работе фондовой биржи, больниц и транспортной системы нескольких городов¹³⁴);

– избирательность при выборе жертв и целей, включающий изучение финансового положения компаний на рынке, оценку значимости отрасли (например, энергетика, банковская сфера и пр.) и потенциальных последствий атаки для компании-жертвы в целях получения от нее выкупа, суммы которых стали запредельно высокими (по данным исследователей актуальных киберугроз средняя сумма выкупа составляет 1,1 млрд долл.)¹³⁵;

– существенное увеличение кибератак с использованием вредоносного ПО на государственные, в т. ч. медицинские учреждения, оказывающие непосредственную помощь в борьбе с пандемией (система здравоохранения Великобритании при атаке WannaCry, сеть больниц Universal Health Services, Университета Вермонта, больница в Дюссельдорфе), компании, задействованные в производстве и поставке вакцин – лаборатории, логистические и фармацевтические компании (Fareva и Dr. Reddy’s), а также Европейское агентство лекарственных средств, которое выдает разрешения на использование вакцин¹³⁶).

Вместе с тем, все также актуально правило: слабая информационная защита является виктимным фактором, в связи с чем организации мелкого и среднего бизнеса чаще подвергаются компьютерным атакам, нежели крупные. В то же время жертвами становятся и крупные компании и корпорации, имеющих собственные подразделения информационной безопасности, репутационные риски которых не позволяют им привлекать правоохранительные органы для восстановления нарушенных прав¹³⁷. В связи с этим ряд зарубежных авторов-исследователей выдвигает тезис о том, что жертвы преступлений в сфере компьютерной информации сами виноваты в том, что они подвергаются атакам, потому что неосмотрительны, некомпетентны и пренебрегают средствами информационной защиты. Более того, оправдывая свое преступное поведение, субъекты данных преступных деяний заявляют, что потерпевшие «заслужили то, что с ними произошло»¹³⁸, а рядовые правоохранители зачастую полагают, что защита от таких преступлений – задача самих пользователей, а не правоохранительных органов¹³⁹. С подобной позицией невозможно согласиться.

Обстановка совершения преступлений в сфере компьютерной информации как элемент криминалистической характеристики имеет важное прикладное значение, при этом ее составляющие (место, время) имеют свою специфику.

Место совершения преступлений в сфере компьютерной информации категория неоднозначная, с определением которой возникают значительные сложности.

Данные преступления совершаются в специфической среде – виртуальном кибернетическом пространстве, поэтому традиционный подход к месту как к территории, на которой преступление совершено, в данном случае неприменим. Это обусловлено множественным характером мест совершения преступления: оно может начать совершаться на одном компьютере (например, разработка вредоносного ПО), продолжиться на другом компьютере (непосредственные действия по совершению преступного посягательства), а общественно опасные последствия наступают на третьем. При этом в одном преступлении одновременно могут быть задействованы множество компьютеров, находящихся в пространственно удаленных друг от друга географических точках, разных государствах и континентах¹⁴⁰.

Местоположение отдельных программных и аппаратных средств совершения преступления характеризуется двумя составляющими:

а) местоположением в реальном пространстве по конкретному адресу и

б) местоположением, которое отождествляется в локальной и глобальной сети с уникальным номером – IP-адресом.

В связи с этим возникают значительные проблемы при расследовании рассматриваемых преступных деяний, разрешение которых лежит как в плоскости международного сотрудничества, так и непосредственного правоприменения. Первая касается трансграничности преступлений в сфере компьютерных технологий, возникающих юрисдикционных коллизий и будет рассмотрена нами в третьей главе настоящего исследования. Вторая относится к узкому утилитарному пониманию места совершения как объекта будущего осмотра места происшествия, что составляет его суть как элемента криминалистической характеристики.

Подобная множественность мест совершения преступлений в сфере компьютерной информации побудила теоретиков к разработке различных их классификаций, в т. ч. значимых для решения практических задач.

В основание дифференциации И. Г. Иванова положила способ получения доступа к компьютерной информации и выделила:

а) место обработки информации при непосредственном доступе;

б) компьютер, с помощью которого производился удаленный доступ или места использования средств, с помощью которых производился перехват данных;

в) компьютер, на котором были обнаружены последствия неправомерного доступа к компьютерной информации¹⁴¹.

А. И. Сотов различает значимые пространственные точки, в которых совершаются преступления в сфере компьютерной информации:

1) место нахождения преступника, где он непосредственно совершает ввод данных или иные действий, необходимые для реализации преступного замысла;

2) место, в котором физически осуществляются информационные процессы – цель преступника (например, компьютер, исполняющий команды преступника при удаленном доступе);

3) место наступления общественно опасных последствий (например, компьютер, зараженный вредоносной программой)¹⁴².

Наиболее подробную классификацию предлагает В. Б. Вехов, приводя:

а) место обнаружения признаков преступления;

б) место непосредственного совершения преступных действий;

в) место подготовки (приискания) средств совершения преступления.

Непосредственно же местом совершения преступлений рассматриваемой категории он предлагает считать то транспортное средство, тот участок местности или территорию того помещения, учреждения, предприятия, организации, государства, где были совершены общественно опасные деяния, независимо от места наступления преступных последствий¹⁴³.

Вместе с тем, определение места совершения преступления – это не только тема для научных дифференциаций, оно имеет очень важное практическое значение в виду установления подследственности и подсудности уголовных дел, что напрямую влияет на результативность следствия, соблюдение сроков расследования уголовных дел и пр.

Обобщая и подытоживая рассмотрение места совершения преступлений в сфере компьютерной информации и учитывая криминалистическую значимость различных мест (наступления последствий преступных действий или промежуточных каналов, соединяющих эти две точки) нам представляется, что место совершения преступления в сфере компьютерной информации – это место фактических действий преступника по реализации преступного умысла, доступ к которому может быть как непосредственный, так и удаленный.

Нашу точку зрения поддерживает и правоприменитель, что показал проведенный нами анализ судебно-следственной практики: как правило, местом преступлений считают место совершения фактических действий лицом, независимо от наступления последствий. Нам представляется такой подход оптимальным с точки зрения практических задач. При необходимости для быстроты или целесообразности расследования уголовного дела в порядке ст. 152 УК РФ возможно «перенести» проведение расследования в другое место.

К типичным местам совершения преступлений в сфере компьютерной информации исследователи относят:

1) жилище преступника (около 50% случаев);

2) место его работы (учебы), не являющееся местом нахождения потерпевшего (примерно в 30% случаев);

3) общественное место, являющееся местом установки стационарного или подключения мобильного компьютерного терминала-средства совершения преступления;

4) по месту нахождения потерпевшего¹⁴⁴.

Эти данные подтверждаются результатами проведенного нами обобщения судебно-следственной практики: более 90% лиц, которые совершают преступления в сфере компьютерной информации в отношении организации, являющейся их работодателем, делают это непосредственно на рабочем месте, превышая свои должностные полномочия; лица же, совершающие деяния, предусмотренные ст. 273 УК РФ, используют при этом своей личный компьютер, находясь дома или в хорошо знакомом им месте. Аппаратные мощности, качество соединения, необходимое ПО предопределяют для преступника конкретное место, соответствующее техническим параметрам, где он чувствует себя достаточно уверенно и спокойно, чтобы сосредоточиться на реализации своего умысла.

Установление времени совершения преступления в сфере компьютерной информации также имеет свои особенности. Зачастую его можно определить с точностью до минуты, что связано с особенностью функционирования компьютера: при реализации той или иной программы, выполнении различных действий записываются лог-файлы, метаданные – недокументированная информация, которая протоколирует операции на машине, изменение состояний файлов и пр. Однако время работы отдельных программ может быть изменено по желанию преступника или не синхронизовано с эталоном¹⁴⁵. В таких случаях установление данного обстановочного фактора представляется непростой задачей.

Как элемент криминалистической характеристики время совершения преступления имеет закономерные взаимозависимости: от личности и мотивов преступника, места и способа совершения преступления.

Предпочитаемое преступниками время для реализации своего замысла может быть разнообразно. Если речь идет о преступлении на предприятии, в учреждении, связано с трудовой деятельностью преступника или обусловлено непосредственным доступом к компьютерной системе, то оно может как совмещаться с рабочим временем, так и нет. При внешнем воздействии с удаленным доступом к информации, преступление может совершаться в любое время суток, что связано с различными часовыми поясами мест нахождения преступника и компьютера жертвы.

В итоге рассмотрения вопросов, связанных с особенностями криминалистической характеристикой преступлений в сфере компьютерной информации по материалам отечественных и зарубежных источников, выделим следующее:

1. В совершение преступлений в сфере компьютерных технологий вовлечен широкий круг лиц, дифференциацию которых можно провести по уровню их технических навыков, мотивам и целям совершения преступлений, т. е. психологические, соматические и иные характеристики типичных преступников очень неоднородны. При этом в настоящее время в качестве мотива преобладают корыстные побуждения, а сами преступления совершаются организованной группой лиц с распределением функциональных ролей.