Киберпреступность — это следствие всеобъемлющей цифровизации современного общества, требующее принятия адекватного противодействия со стороны государства. Она посягает на совершенно разные сферы жизни и общества — имущественные права граждан, объекты критической инфраструктуры, права личности, причиняют ущерб коммерческим организациям и государству в целом. При этом действия киберпреступников становятся все более агрессивными, они принимают меры к тщательному сокрытию следов, сохранению анонимности, продумывают свое поведение так, чтобы максимально осложнить сбор доказательств и избежать ответственности. Эти обстоятельства предопределяют правовую и фактическую сложность доказывания по таким делам.
«Традиционные подходы к расследованию преступлений не позволяют в полной мере противостоять этому качественно новому виду угроз. Необходимым условием успешной работы в этом направлении является понимание сотрудниками правоохранительных органов специфики функционирования киберсферы, ее трансграничного характера, умение работать в информационной среде, коммуницировать с представителями IT-компаний и другими специалистами, знать, как и где искать доказательства, как их фиксировать. И в конце концов грамотно построить диалог с участниками уголовного процесса, допросить свидетелей, подозреваемых и обвиняемых в совершении таких преступлений», — говорит Константин Комарда, руководитель отдела Следственного комитета Российской Федерации по расследованию киберпреступлений и преступлений в сфере высоких технологий.
Многочисленные учреждения, организации, коммерческие предприятия и частные лица внутри страны (и даже за ее пределами), включая органы уголовного правосудия и национальной безопасности, международные организации, частный сектор и организации гражданского общества, могут тем или иным образом участвовать в проведении расследований киберпреступлений.
На сегодняшний день преступления в сфере компьютерной информации являются одним из самых латентных видов преступлений. Процент выявления данного вида преступлений невелик, в том числе по причине того, что зачастую потерпевшим об их совершении ничего не известно либо становится известно лишь со временем. Так, к примеру незаконное копирование информации очень часто остается незамеченным, а введение в компьютер вируса обычно объясняется непреднамеренной ошибкой пользователя. Высокая степень латентности киберпреступлений связана также с тем, что сами пострадавшие (особенно если потерпевшими являются крупные коммерческие организации, банки) не спешат сообщать правоохранительным органам о факте совершения преступления, опасаясь подрыва деловой репутации.
Нежелание сообщать о преступлениях можно объяснить теорией ожидаемой полезности, выдвинутой экономистом Гэри Беккером (1968), которая гласит, что люди участвуют в каких-либо действиях, когда ожидаемая полезность (т.е. выгода) от этих действий превосходит ожидаемую полезность участия в других действиях (Maras, 2016). В контексте киберпреступности, жертвы киберпреступлений не сообщают о киберпреступлении, если ожидаемая полезность такого сообщения является низкой (Maras, 2016).
Проводимые в настоящее время исследования определяют для этого несколько причин, включая чувство стыда и смущения, испытываемые жертвами определенных видов киберпреступлений (например, романтической аферы); репутационные риски, связанные с преданием гласности факта совершения киберпреступления (например, если жертвой киберпреступления является коммерческое предприятие, или если есть угроза утраты доверия со стороны потребителей); отсутствие осознания того, лицо стало жертвой преступления; низкую степень уверенности или ожиданий в отношении способности правоохранительных органов оказать помощь; необходимость расходования слишком большого количества времени и усилий для сообщения о киберпреступлении; и отсутствие осведомленности о том, кому следует сообщать о киберпреступлениях (Wall, 2007; McGuire and Dowling, 2013; Tcherni et al., 2016; Maras, 2016).
Еще одной особенностью киберпреступлений является их трансграничность (иными словами, преступления в киберпространстве чаще всего не ограничены территорией одного государства). Ситуация, когда субъект преступления и потерпевший находятся в разных странах, требует международного сотрудничества. Некоторым препятствием к успешному взаимодействию правоохранительных органов будут особенности в системе внутреннего права разных государств, различная степень разработанности вопроса о киберпреступлениях на законодательном уровне. В настоящее время рядом государств уже были предприняты успешные попытки заключения международных соглашений о сотрудничестве при предупреждении и расследовании преступлений в киберпространстве. Но на сегодняшний момент отсутствует единый (хотя бы для большей части государств) глобальный нормативно-правовой акт, регламентирующий порядок борьбы с киберпреступностью.
Киберпреступность отличается также высокой степенью анонимности преступника. Существующие на сегодняшний день VPN/VPS-сервисы для анонимизации трафика, виртуальные номера мобильных телефонов, криптовалютные кошельки (создание которых не требует внесения паспортных данных) обеспечивают лицу возможность практически полностью скрыть свою личность. Даже если следствию удается идентифицировать то или иное электронное устройство в качестве орудия совершения преступления, установить причастность конкретного лица к совершению (посредством данного устройства) преступления часто становится затруднительно.
Одна из главных проблем расследования киберпреступлений связана с невозможностью точного применения к ним стандартного алгоритма расследования: следственные действия, закрепленные в уголовно-процессуальном законодательстве, при расследовании данного типа преступлений не будут обладать большой эффективностью. Например, осмотр места происшествия, которому обычно придается центральное значение, при расследовании преступлений в киберпространстве будет иметь ряд особенностей. Во-первых, возникает вопрос, что именно будет считаться местом преступления с процессуальной точки зрения (например, в случаях, когда преступником была совершена хакерская атака): место нахождения хакера во время атаки, место написания им вредоносной программы, адрес потерпевшего, место обналичивания денег (при совершении атак на финансовые организации), или какое-либо иное место?
Учитывая, что киберпреступления совершаются в так называемом «виртуальном пространстве», некоторые исследователи предлагают считать местом происшествия определенный диапазон виртуального (информационного) пространства. Даже если принять их точку зрения, то следствие сталкивается со следующей проблемой: как вообще возможно проведение осмотра места происшествия, если на киберпространство не распространяются географические (а, следовательно, и юридические) законы? Сама процедура осмотра места происшествия также сопряжена с рядом особенностей: традиционные методики криминалистической техники здесь безрезультативны, поскольку работа идет не с привычными следами, а электронными (их также называют «цифровыми следами» и выделяют две их разновидности: активные и пассивные следы. К первой категории относится информация, которую пользователь вводит самостоятельно: к примеру, ФИО, дата рождения в социальных сетях, личных кабинетах иных сайтов. А к группе пассивных следов относят следы, оставленные лицом ненамеренно, вследствие работы программного обеспечения).
Примерно также дела обстоят и со следственным экспериментом (с целью выяснения обстановки совершения преступления). При расследовании киберпреступлений данное следственное действие само по себе практически теряет свой смысл, поскольку изменения во внешней обстановке никак не влияют на изменения в кибернетическом пространстве (что и составляет суть киберпреступлений).
Даже такое следственное действие как допрос подозреваемого или обвиняемого в совершении киберпреступления сопряжено с рядом трудностей. Главная проблема здесь заключается в том, что подозреваемый/обвиняемый в процессе допроса практически всегда изъясняется специфическими терминами, трудно воспринимаемыми для человека без соответствующего образования и знаний в сфере компьютерных технологий. Следователю необходимо (с помощью привлечения соответствующего специалиста) перевести данные термины и выражения на юридический язык, при этом сделав их понятными для участников судопроизводства.
Присутствие специалиста во время допроса подозреваемого/обвиняемого может отрицательно сказаться на результатах допроса по ряду причин: во-первых, присутствие специалиста (как и присутствие любого третьего лица) осложняет налаживание психологического контакта между следователем и допрашиваемым лицом, а во-вторых, у подозреваемого/обвиняемого возникает понимание того, что следователь (ведущий производство по его делу) не понимает суть совершенного противоправного деяния и механизм его совершения (вследствие чего у лица возникает мысль о потенциальной возможности ввести следствие в заблуждение). Определенные трудности связаны и с допросом свидетелей. Это обусловлено тем, что основная масса свидетелей не имеет четкого понимания произошедшего вследствие отсутствия специальных знаний.
Практически всегда в рамках расследования дела о киберпреступлениях производится выемка техники (компьютера и периферийного оборудования, иных носителей электронной информации) с целью назначения экспертизы по данным объектам. Следователю на данном этапе приходится прибегать к помощи специалиста, поскольку изъятие и транспортировка данных объектов имеет ряд особенностей. При производстве выемки обязательно присутствие понятых, но они имеют представление лишь об изъятии носителя информации, а не о наличии той или иной криминалистически значимой информации на данном носителе. Также следует отметить, что процесс изъятия осложняется постоянным риском потери информации. Кроме того, процедура выемки осложняется тем, что следователю совместно со специалистом приходится решать вопрос об изъятии каждого конкретного предмета, исходя из необходимости полного и всестороннего исследования с одной стороны, и руководствуясь принципом обоснованной необходимости изъятия с другой стороны (так как компьютеры, мобильные телефоны, являются важными рабочими инструментами представителей многих профессий, и их изъятие на длительный срок может нанести существенный вред интересам лица).
Важным этапом расследования уголовных дел о киберпреступлениях будет назначение компьютерно-технической экспертизы. Вследствие того, что данный вид преступлений появился относительно недавно, количество экспертных учреждений, в которых имеются специалисты данной отрасли, невелико. Из-за этого возникает проблема высокой загруженности данных экспертных учреждений, что влечет за собой увеличение времени выполнения экспертиз. Также немаловажным аспектом назначения компьютерно-технической экспертизы будет постановка следователем грамотных вопросов эксперту, с чем возникают определенные трудности вследствие отсутствия у следователей специальных знаний в области компьютерной техники и информационных технологий.
Публикация подготовлена при поддержке юристов DRC.