При отсутствии заподозренного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации указанных доказательств. Принимаются меры к розыску виновного и поиску его рабочего места, откуда происходит вторжение в информационную систему. Осуществляется поиск следов на машинных носителях и вокруг них: места входа в данную информационную систему и способа входа в систему вместе с должностными лицами собственника информационной системы; путей следования, через которые вошел в «атакованную» систему злоумышленник («транзитные» машинные носители) или проникли его программы имеете с должностными лицами иных информационных и коммуникационных систем до рабочего места злоумышленника. Такое место, как указывалось, может быть, как по месту его службы, так и дома, и в иных местах, где установлена соответствующая аппаратура (например, студенческие вычислительные центры и др.). Таким образом, первоначальный этап расследования является наиболее ответственным и важным этапом, на котором следователем определяется весь дальнейший ход расследования, составляются следственные версии, проводятся неотложные следственные действия. Успех всего дальнейшего расследования зависит от количества и качества материалов, которые будут собраны на первоначальном этапе. |
лиц, обеспечивающих работу информационной системы, в том числе должностных лиц, представляющих собственника системы. Важнейшим элементом работы является выемка (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения. Принимаются меры к фиксации состояния рабочего места заподозренного, откуда он осуществил вторжение в информационную систему, и где могут сохраняться следы его действий (их подготовки и реализации) в виде записей на машинных и обычных носителях информации. Такое место может быть, как по месту его службы, так и дома, в иных местах, где установлена соответствующая аппаратура, например, студенческие вычислительные центры и др.). Полученные в результате доказательства могут обеспечить основания для принятия решения о привлечении лица к делу в качестве обвиняемого. При отсутствии заподозренного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации указанных доказательств. Принимаются меры к розыску виновного и поиску его рабочего места, откуда происходит вторжение в информационную систему. Осуществляется поиск следов на машинных носителях и вокруг них: места входа в данную информационную систему и способа входа в систему — вместе с должностными лицами собственника информационной системы; путей следования, через которые вошел в «атакованную» систему злоумышленник («транзитные» машинные носители) или проникли его программы — вместе с должностными лицами иных информационных и коммуникационных систем — до рабочего места злоумышленника. Такое место, как указывалось, „может быть, как по месту его службы, так и дома, и в иных местах, где установлена соответствующая аппаратура (например, студенческие вычислительные центры и др.). В качестве примера действий в ситуации, когда виновное лицо подлежит обнаружению совместными усилиями правоохранительных органов и сотрудников различных информационных систем, рассмотрим следующий случай': злоумышленник вторгся в компьютерную сеть лаборатории ВВС США (штат Нью-Йорк), причем его действия оставались незамеченными несколько дней. Нападению подверглись три рабочие станции — часть сети лаборатории. Он инсталлировал в систему несколько специальных программ, позволяющих перехватывать нажатие клавиш пользователями системы и таким образом определил пароли пользователей для входа в сеть. Используя полученные пароли и коды, он копировал файлы с военной информацией, но не производил никаких изменений в исходных файлах. Представители ВВС, обнаружив вторжение, начали наблюдение за действиями злоумышленника и обнаружили, что он, используя их сеть, не только копировал файлы лаборатории, но и связывался через их сеть с INTERNET и пытался проникнуть аналогичным способом в другие военные компьютерные сети. Злоумышленник входил в сеть лаборатории через различные сети, находящиеся в Европе, а также через Чили, Бразилию, другие страны. Для его установления и задержания потребовались согласованные действия правоохранительных органов штата Техас (США), информационного центра ведения боевых действий ВВС США, правоохранительных органов в Европе, а также страны нахождения преступника. Последние привлекли к его поиску коммуникационные компании и с их помощью в ходе наблюдения за действиями преступника было выявлено его местонахождение в момент сеанса связи. В результате проведенного национальными правоохранительными органами .расследования были собраны доказательства, позволяющие получить ордер на проведение обыска. Обыск был начат в момент, когда он осуществлял связь с компьютерными сетями. ' Ярочкин В.И. Указ. соч. С. 141-143 |