В XXI веке основную ценность представляет информация, а ее главным способом передачи, обмена и хранения стала «цифра» с практически повсеместным применением систем беспроводной передачи данных Wi-Fi и Bluetooth, а также собственных систем отдельных компаний IT-сектора.
Возрастает разнообразие форм, средств и методов обработки цифровой информации, увеличивается ее общий объем, что зачастую не только способствует общественно одобряемым операциям с информацией, но и может иметь непосредственное отношение к преступной деятельности. Криминалистика должна адаптироваться к изменяющимся условиям, что требует не просто совершенствования, но и постоянного обновления криминалистических знаний о технических и тактических аспектах операций с цифровой доказательственной информацией в процессе выявления, раскрытия и расследования преступлений.
Как абсолютно правильно пишет А.Н. Ершова, “выявление, фиксация и изъятие следов неправомерного доступа к компьютерной информации играет определяющую роль в сборе доказательственной базы при расследовании данных преступлений. На основе информации, получаемой при изучении следов, могут быть построены версии об участниках преступления. <...> Зная тонкости процесса образования следов неправомерного доступа к компьютерной информации можно легко судить о способе совершения преступления, действиях по сокрытию данного преступления, некоторых особенностях лица, совершившего преступление, а также об обстановке совершения данного преступления. <...> Во многом следовая картина определяет тактику расследования преступления”.
Как известно, процесс расследования преступлений включает в себя производство следственных действий, проведение оперативно-розыскных и организационных мероприятий, которые направлены на собирание, исследование, фиксацию, оценку доказательственной информации (этапы (стадии) процесса доказывания) и установление истины по уголовному делу. Таким образом, фиксация доказательств является составляющей процесса собирания последних, выражающейся в их закреплении и запечатлении.
Доказательство с позиций информационной теории уголовного права и процесса — это единство информации и ее материального носителя. Так, В.С. Балакшин обоснованно считает, что доказательство суть знаково-информационная система, в которую условно могут быть включены цифровая информация, содержащаяся на любом электронном носителе, сам таковой носитель, а также процессуально регламентированный порядок собирания, проверки и оценки доказательств, размещенных на электронных носителях (ст. ст. 81 - 81.1, 164.1 УПК РФ и др.).
Прежде чем говорить о том, каковы особенности криминалистической фиксации цифровых следов и доказательств, неплохо было бы разобраться с тем, что они представляют собой с точки зрения уголовно-правовой доктрины. В зарубежных источниках акцент сделан именно на цифровой сущности рассматриваемых доказательств; электронная природа носителя учитывается, однако интерес вызывает в первую очередь сама цифровая информация, а не ее носитель. При этом используемые термины могут либо отражать технико-криминалистическую сторону исследуемых объектов, их следовую сущность (digital traces, digital footprints), либо отсылать к их доказательственному значению (digital evidence). Однако при составлении нормативных документов в большинстве государств используется термин "электронные доказательства". Такой подход на сегодняшний день кажется нам самым правильным.
Для начала, рассмотрим отдельные содержательные характеристики цифровой информации в контексте ее потенциального преобразования в уголовно-процессуальное доказательство. Таковых можно выделить несколько:
1. Опосредованность. Существование цифровой информации невозможно без материального носителя.
2. Возможность копирования без утраты объема и содержания копируемой информации. Копия отдельного файла полностью ему идентична и может существовать (изменяться) безотносительно оригинала.
3. Одновременное существование нескольких копий. Один и тот же фрагмент цифровой информации может быть зафиксирован на разных, зачастую удаленных друг от друга носителях, которые могут быть и не быть синхронизированы. Доступ к такой информации могут одновременно иметь различные субъекты.
4. Возможность преобразования в другие формы. Содержание мультимедийного файла может быть преобразовано в аналоговую форму, скриншот или текстовый документ, которые можно распечатать, и т.д.
5. Возможность существования на различных носителях.
6. Необходимость применения специальных технических средств для восприятия цифровой информации.
7. Обезличенность. В большинстве случаев установление автора или владельца цифровой информации может представлять существенную проблему для правоохранительных органов.
Цифровые следы как форма существования цифровой информации могут быть классифицированы по различным основаниям. Так, в зависимости от формы носителя выделяют цифровые следы, расположенные на оптических носителях (CD, DVD, blu-ray диски и пр.), полупроводниковых носителях (флеш-накопители, SSD и магнитные носители).
С точки зрения формы представления большинство цифровых следов - это текстовая информация, однако в следственно-судебной практике встречаются случаи использования следов в графической или звуковой форме.
Другим основанием деления цифровых следов является способ доступа к ним — локальный или удаленный. В первом случае доступ осуществляется непосредственно через устройство, содержащее носитель, на котором находятся цифровые следы. При этом возможен весь комплекс криминалистических операций по обнаружению, фиксации, изъятию и исследованию следов. При расположении искомой информации на удаленном носителе доступ к следам возможен только при использовании подключения к телекоммуникационным сетям. При этом исключается изъятие следов в традиционном криминалистическом понимании, однако они могут быть скопированы на носитель.
По характеру доступа цифровые следы могут быть доступными (например, электронные документы), скрытыми (скрытые файлы, информация, скрытая с помощью методов стеганографии) и зашифрованными. В последнем случае сам факт наличия информации очевиден субъекту расследования, однако доступ к ее содержанию заблокирован, как правило, с помощью паролей или иных средств идентификации или аутентификации ее создателя или владельца.
По характеру происхождения цифровые следы дифференцируются на оставленные человеком непосредственно (электронные документы, записи в социальных сетях и т.п.) и опосредованно (данные телеметрии, файлы регистрации, атрибуты создаваемых файлов и т.п.). Следы первой группы могут быть исследованы в ходе производства следственных действий (например, в ходе осмотра места происшествия), исследование же следов второй группы требует использования специальных знаний (как правило, производства компьютерно-технических исследований).
Наконец, по месту их нахождения выделяют цифровые следы, физически находящиеся на компьютерных устройствах преступника (например, исходный код вредоносного программного обеспечения или шаблоны для изготовления подложных документов), потерпевшего (например, функционирующее вредоносное программное обеспечение), сторонних лиц (например, электронная почта на сервере организации, предоставляющей услуги такого рода). Разумеется, цифровые следы могут одновременно располагаться на носителях, относящихся ко всем трем группам.
Резюмируя, можно сказать, что цифровой след – это криминалистически значимая информация, выраженная посредством электромагнитных взаимодействий или сигналов в форме, пригодной для обработки с использованием компьютерной техники, в результате создания определенного набора двоичного машинного кода либо его преобразования, выразившегося в модификации, копировании, удалении или же блокировании, зафиксированная на материальном носителе, без которого она не может существовать.
При этом, одним из главнейших свойств -цифровых следов является возможность их легкого дублирования без изменения первоисточника данных, а также возможность создания безграничного количества легко и быстро изменяемых дубликатов информации, причем уничтожить достаточно большое количество информации можно за достаточно короткий временной промежуток.
Итак, ключевым этапом в выстраивании стратегии доказывания определенных фактов на основе цифровых следов являются поиск и сохранение таких следов способами, обеспечивающими относимость, допустимость и полноту доказательств. Этот этап неразрывно связан с использованием форензики (компьютерной криминалистики).
Важно понимать, что, как и где искать. Цифровые следы порождаются самыми разными процессами. Они могут представлять собой сетевые временные файлы с расширениями html, текстовые документы txt, docx, журналы системы, почтовые архивы и т. д. Их можно умышленно или неумышленно скрыть, уничтожить, изменить, зашифровать — причем эти действия тоже оставляют цифровые следы. Для доступа к таким следам требуются не только специальные знания и навыки, но и специализированное криминалистическое оборудование и программное обеспечение.
Соответственно, поиск цифровых следов необходимо проводить при содействии специалиста с профильным образованием и опытом. “При этом желательно участие одного и того же специалиста во всех соответствующих следственных действиях одного уголовного дела, так как это позволит ему более качественно выполнить свои обязанности, а следователю — полнее применить его специальные навыки и познания для уяснения общей картины преступления, а не только отдельных эпизодов или фактов (явлений)”, — делает закономерный вывод А.Н. Ершова.
Перед началом поиска цифровых следов специалисту необходимо снять криминалистическую копию (создать образ) носителя (например, жесткого диска), с которой он будет работать. Это позволит обеспечить сохранность и неизменность цифровых следов на основном носителе. После этого специалист может восстановить резервные копии системы, дампы оперативной памяти, файлы системных журналов, переписка в мессенджерах. Специалист анализирует совокупность найденных объектов и выстраивает таймлайн произошедшего, то есть четкую и технологически обоснованную последовательность того, что происходило в системе, чем был вызван конкретный процесс и какие последствия он повлек. Это позволяет четко и обоснованно выстроить все изменения в системе в строгом порядке и выявить недостающие или умышленно подмененные элементы.
С точки зрения уголовного процесса, этап поиска и доказательственной фиксации цифровых следов можно оформить в виде заключения о прошедшем криминалистическом исследовании. В нем специалист излагает суть проведенных над объектом исследования действий, а именно: что и где он обнаружил в ходе поиска цифровых следов, а также то, каким образом и куда он сохранил указанную информацию. При этом, пишет юрист Сергей Коновалов, “важно, чтобы специалист в рамках поиска и фиксации цифровых следов использовал апробированное экспертным сообществом лицензионное программное обеспечение”. Отметим, что специалист может записать цифровые следы на CD-диск и представить его в качестве приложения к своему заключению.
С вышеуказанными задачами хорошо справляются такие современные программные комплексы, как «Мобильный криминалист», UFED Touch либо XRY. После проведения исследования информация предоставляется на бумажных и электронных носителях в качестве отчетов, которые не требуют расшифровки и доступны для понимания и изучения всем участникам предварительного следствия при ознакомлении с материалами уголовного дела.
Также целесообразно привлечь на данном этапе и нотариуса, который обеспечит осмотр цифровых следов и в протоколе нотариального осмотра доказательств отразит хронологию их поиска на основании статьи 102 Основ законодательства Российской Федерации о нотариате. Такой протокол нотариального осмотра доказательств можно тоже представить в суд вместе с заключением специалиста.