О доказательственном значении лог-файлов

Сегодня уделяется большое внимание борьбе с преступностью в сфере высоких технологий. После принятия нового Уголовного кодекса РФ, в который были добавлены ст. 272-274 об ответственности за преступления в сфере компьютерной информации, были созданы и начали активную работу соответствующие подразделения в системе МВД РФ.

По уголовным делам о преступлениях в сфере компьютерной информации судами нередко выносятся обвинительные приговоры.

В последнее время расследованиями инцидентов в сфере компьютерной информации занимаются не только частные детективные службы, но также службы безопасности крупных фирм, сотрудники которых имеют весьма сомнительную квалификацию.

На практике, следователь во время расследования преступлений в сфере компьютерной информации выстраивает цепочку доказательств: данные осмотра места происшествия – исследование – наведение справок – выявление и задержание злоумышленника. Вначале, согласно статьям 164, 176 и 177 Уголовно-процессуального кодекса РФ производится осмотр места происшествия, а в нашем случае - компьютерной системы, подвергшейся атаке хакера.

В процессе осмотра следователь изымает и приобщает к материалам дела различные файлы протоколов, с межсетевых экранов в том числе, журналы операционных систем и прикладных программ и т.д.
Затем специалист, завершив анализ этих лог-файлов, определяет ход дальнейшего расследования. Далее путем выемки или даже обыска получаются файлы протоколов в провайдерских или хостинговых компаниях, компаниях, предоставляющих услуги проводной связи, а также в других местах.
По этим лог-файлам как минимум устанавливается местонахождение подозреваемого лица, а иногда и такие личные сведения, как данные паспорта или фотография.
Потом, в ходе судебного процесса, данные этих лог-файлов используются в качестве доказательств.
В такой ситуации перед всеми участниками судебного процесса встает вопрос: как можно обеспечить доказательственное значение лог-файлов приобщенных к уголовному делу? Другими словами, считаются ли лог-файлы допустимым доказательством в уголовном процессе?
На сайтах, посвящённых вопросам безопасности этот вопрос обсуждается весьма активно. Например на http://securitylab.ru.
Однако я заметил, что в этих обсуждениях наиболее активны лица, не имеющие опыта реальных расследований преступлений в сфере компьютерной информации и тем более не представлявшие в суде ни обвинение, ни защиту.

В результате таких обсуждений большая часть сетевой общественности пришла к следующим весьма спорным умозаключениям: изъятые с компьютера пострадавшего Лог-файлы, не имеют в дальнейшем юридической силы, поскольку предварительно могли были быть изменены как самим потерпевшим, так и любым третьим лицом.

После изъятия лог-файлы может изменить следователь, специалист или оперативный сотрудник правоохранительных органов. Полученные в провайдерских компаниях Лог-файлы, в дальнейшем также теряют юридическую силу, поскольку согласно Закону РФ «О связи» провайдер не может предоставлять кому бы то ни было конфеденцтальную информацию о частной жизни граждан без судебного решения.

Но суды не будут выносить такое решение на основании одних подозрений следователя.
Доказательственной силы не имеют также результаты исследования компьютеров, в том числе и изъятых у подозреваемых лиц, сделанные экспертом. Дело в том, что для проведения подобных экспертиз должны использоваться методики, сертифицированные Министерством юстиции, а эксперту необходимо состоять на службе в специализированном экспертном учреждении. В настоящий момент в штате экспертных учреждений Министерства юстиции, даже МВД и ФСБ, такие специалисты отсутствуют.
Чтобы предотвратить преступления в сфере компьютерной информации важно создать специальное «Интернет-законодательство» и «Интернет-право», потому что обычные законы не действуют в киберпространстве.
Основываясь на этом, легко сделать ошибочный вывод, что в настоящее время в сфере компьютерной информации доказать какое-либо преступление практически невозможно. В результате, некоторые посетители подобных форумов без достаточной юридической подготовки, зачастую сами совершают правонарушения, после чего привлекаются к уголовной ответственности. В действительности затруднения, возникающие при оценке доказательственной силы лог-файлов, просто решаются в рамках действующего законодательства. Но эта теория не всегда работает на практике.

Первое же судебное заседание по делу гражданина, обвиняемого по ст. 272 УК РФ, доказало несостоятельность всех этих юридических теорий. В результате процесса, обвиняемый получил наказание в виде двух лет лишения свободы условно, а практикующие юристы – важный опыт, который в дальнейшем был использован при расследовании уголовных дел по ст. 272 и 273 УК РФ в различных субъектах РФ.
Приведем простой пример, сравнив компьютерную преступность с общеуголовной.
Предположим, совершено ограбление и убийство.

Родственники потерпевшего обратились в милицию, после чего следователь достал окровавленный нож с отпечатками преступника. По этим отпечаткам был установлен и задержан убийца. Но он заявляет в свою защиту, что его отпечатки на ноже были фальсифицированы родственниками убитого или следователем, а вещи, украденные из квартиры были подброшены ему работниками милиции. Значит он невиновен и его следут немедленно отпустить. И это заявление не так уж и нелепо, как может показаться на первый взгляд.
Каждый следователь встречал в своей практике многих людей, которые рассказывали и более подозрительные истории. Такие истории - это верный способ получить максимально высокий срок по инкриминируемой статье. На основании статей 87 и 88 Уголовно-процессуального кодекса РФ, следователь и суд оценивают доказательства собранные по делу.
Согласно статье 87 «проверка доказательств производится дознавателем, следователем, прокурором, судом путем сопоставления их с другими доказательствами, имеющимися в уголовном деле, а также установления их источников, получения иных доказательств, подтверждающих или опровергающих проверяемое доказательство». В соответствии со статьей 88, «каждое доказательство подлежит оценке с точки зрения относимости, допустимости, достоверности, а все собранные доказательства в совокупности - достаточности для разрешения уголовного дела». В этой же статье указано, что либо следователь, либо суд могут признать определённые доказательства по уголовному делу не имеющими юридической силы.

Очевидно, что следователь в процессе расследования уголовного дела о преступлении в сфере компьютерной информации вряд ли согласится признать собственноручно добытые им лог-файлы недопустимым доказательством.
У обвинённого злоумышленника остается один выход. Он может непосредственно в судебном заседании заявить соответствующее ходатайство. В этом случае ходатайство будет рассматриваться, соблюдая требования статьи 234 Уголовно-процессуального кодекса: «при рассмотрении ходатайства об исключении доказательства, заявленного стороной защиты на том основании, что доказательство было получено с нарушением требований настоящего Кодекса, бремя опровержения доводов, представленных стороной защиты, лежит на прокуроре. В остальных случаях бремя доказывания лежит на стороне, заявившей ходатайство.» Это значит, что если следователем или оперативными работниками при изъятии лог-файлов не были допущены процессуальные нарушения, то доказывать факт их подделки придется самому злоумышленнику и никому другому.

Единственной новацией при осмотре места преступления и изъятии лог-файлов, в отличии от раскрытия общеуголовных преступлений, является необходимость присутствия достаточно компетентных понятых при осмотре, которые понимали бы смысл действий совершаемых следователем или приглашённым специалистом по изъятию лог-файлов. В целом, осмотр места происшествия, одно из наиболее стереотипных следственных действий, отлично описано в специальной литературе. В случае достаточной компетентности понятых, другие процессуальные нарушения весьма маловероятны. В итоге, как правило не удаётся оспорить доказательственное значение лог-файлов, взятых с компьютера потерпевшего.

Очередным заблуждением является правомерность получения лог-файлов у провайдерских и телекоммуникационных компаний. Все эти действия осуществляются в соответствии с Законами РФ «О милиции» и «Об оперативно-розыскной деятельности».

Например, Закон РФ «О связи» содержащий положения о тайне связи.
Статья 31 этого закона гласит: «Информация о почтовых отправлениях и передаваемых по сетям электрической связи сообщениях, а также сами эти отправления и сообщения могут выдаваться только отправителям и адресатам или их законным представителям.
Прослушивание телефонных переговоров, ознакомление с сообщениями электросвязи, задержка, осмотр и выемка почтовых отправлений и документальной корреспонденции, получение сведений о них, а также иные ограничения тайны связи допускаются только на основании судебного решения.»
В основном у провайдерских компаний запрашивается информация, непосредственно о самом потерпевшем такие, например, детализация соединений под его логином,звонков на его модемный пул и т.п. У провайдерской компании следователь может получить эти данные только с личного письменного согласия самого потерпевшего, это значит что в соответствии с Законом «О связи» следователь фактически выступает в роли его законного представителя. Следовательно, полученные данные могут считаться допустимыми доказательствами, а значит их можно будет использовать в суде и на предварительном следствии. В других случаях телекоммуникационные компании могут предоставить данные только на основании судебного решения. Как уже было рассмотрено, ранее полученные лог-файлы имеют всё же доказательственную силу и для положительного решения суда не усматривается никаких препятствий. Также следует учитывать, что такие решения единолично принимает судья, без какого-либо участия сторон. В результате в 95 % случаев суды удовлетворяют ходатайства поступающие из правоохранительных органов. Оставшиеся 5 % относятся к случаям очевидной халтуры отдельных оперативных сотрудников при составлении документов.

Данные полученные по решению суда,используются как в суде, так и на предварительном следствии. Следовательно, проигрывает и вторая полоса защиты свободы компьютерного мошенничества…
Но допустим, что личность преступника установлена, изъята используемая им техника и отправлена на экспертизу. Адвокаты обвиняемого На этом этапе поднимают такой вопрос: кто может выступить в качестве эксперта? Ответ на этот вопрос уже дан Уголовно-процессуальным кодексом РФ.
Статус эксперта определяет Статья 57 УПК, которая гласит:

1. Эксперт - лицо, обладающее специальными знаниями и назначенное в порядке, установленном настоящим Кодексом, для производства судебной экспертизы и дачи заключения. 2. Вызов эксперта, назначение и производство судебной экспертизы осуществляются в порядке, установленном статьями 195 - 207, 269, 282 и 283 настоящего Кодекса. 3. Эксперт вправе: 1) знакомиться с материалами уголовного дела, относящимися к предмету судебной экспертизы; 2) ходатайствовать о предоставлении ему дополнительных материалов, необходимых для дачи заключения, либо привлечении к производству судебной экспертизы других экспертов; 3) участвовать с разрешения дознавателя, следователя, прокурора и суда в процессуальных действиях и задавать вопросы, относящиеся к предмету судебной экспертизы; 4) давать заключение в пределах своей компетенции, в том числе по вопросам, хотя и не поставленным в постановлении о назначении судебной экспертизы, но имеющим отношение к предмету экспертного исследования; 5) приносить жалобы на действия (бездействие) и решения дознавателя, следователя, прокурора и суда, ограничивающие его права; 6) отказаться от дачи заключения по вопросам, выходящим за пределы специальных знаний, а также в случаях, если представленные ему материалы недостаточны для дачи заключения.

4. Эксперт не вправе: 1) без ведома следователя и суда вести переговоры с участниками уголовного судопроизводства по вопросам, связанным с производством судебной экспертизы; 2) самостоятельно собирать материалы для экспертного исследования; 3) проводить без разрешения дознавателя, следователя, суда исследования, могущие повлечь полное или частичное уничтожение объектов либо изменение их внешнего вида или основных свойств; 4) давать заведомо ложное заключение; 5) разглашать данные предварительного расследования, ставшие известными ему в связи с участием в уголовном деле в качестве эксперта, если он был об этом заранее предупрежден в порядке, установленном статьей 161 настоящего Кодекса.

5. За дачу заведомо ложного заключения эксперт несет ответственность в соответствии со статьей 307 Уголовного кодекса Российской Федерации. 6. За разглашение данных предварительного расследования эксперт несет ответственность в соответствии со статьей 310 Уголовного кодекса Российской Федерации.»

В статье 195 при этом указывается: «Судебная экспертиза производится государственными судебными экспертами и иными экспертами из числа лиц, обладающих специальными знаниями». В то же время кодекс не определяет чётко круг «иных» экспертов, и экспертам не нужно никаких специальных сертификатов, в том числе от Министерства юстиции. Другими словами, в роли эксперта может быть приглашено любое лицо, обладающее необходимыми знаниями и навыками. При этом уровень компетентности эксперта определяется следователем.

Конечно, обвиняемый или его адвокат в суде могут заявить ходатайство об отводе эксперта по причине его некомпетентности или потребовать пригласить своего эксперта. Но мне не неизвестно ни одного случая, когда такие ходатайства удовлетворялись бы судом. Всё потому, что следователи поручают производство экспертизы довольно компетентным специалистам, которые ко всему прочему имеют некоторую общую методику выполнения подобных эскпертиз (разработана Следственным комитетом МВД РФ и немного модернизирована НИП «Информзащита»), которая обеспечивает доказательственное значение результата экспертизы. Здесь адвоката ждет полный провал!

Никакой критики, наконец, не выдерживает предложение разработать специальное «Интернет-право». Практикующие юристы обычно встречают такие предложения с огромным недоверием. Право предназначено для того, чтобы регулировать наиболее важные общественные отношения, поэтому бесмыслено комплектовать собственной отраслью права каждую предметную область. Ведь тогда придется разрабатывать не только компьютерное, но и канцелярское, геологическое, химическое, медицинское право. И так далее...

Такой подход ведет в никуда. На практике почти все вопросы касающиеся взаимоотношений между пользователями компьютерных сетей и телекоммуникационными компаниями можно решить в рамках традиционного гражданского, административного и даже уголовного права.
В настоящее время Телекоммуникации и сеть Интернет – далеко не единственная транснациональная структура. На территории многих стран действуют транспортные компании, почтовые службы, многие корпорации с диверсифицированной инфраструктурой. Их деятельность одновременно подчиняется различным национальным законам, что никак не мешает успешному развитию соответствующего бизнеса. Тем не менее корпорации не настаивают на введении специфического автомобилестроительного или почтового права.
По сути все вопросы защиты интересов компании и ее клиентов решаются в соответствии с законодательством того или иного государства.
Это значит, что представления общеупотребительные на сетевых форумах далеко не всегда совпадают с российской реальностью. А большая пропасть между представлениями и суровой действительностью может в зале суда привести к крайне неприятным последствиям…