To the question of use of electronic data storage devices in criminal procedure.pdf В условиях динамичного развития и все расширяющегося использования электронных носителей и хранилищ информации перед предварительным расследованием и уголовным процессом в целом все более актуальными и востребованными становятся задачи как по получению и сохранению информации с электронных носителей данных, так и по разработке процессуальных правил трансформации полученных данных в доказательства. Законодатель время от времени дополняет Уголовно-процессуальный кодекс Российской Федерации (далее - УПК РФ) различными нормами, внедряющими в той или иной форме в уголовное судопроизводство возможности использования как в процессе доказывания, так и в процедуре судопроизводства электронной системы документов и носителей информации. Однако такие дополнения вносились в разное время и по разному поводу, потому разнообразны и не систематизированы. В ряде случаев подобные уголовно-процессуальные правила в силу непоследовательного нормативного регулирования имеют неоднозначное понимание и создают проблемы в правоприменении. Так, в УПК РФ используются понятия: - «электронные средства контроля». Статья 107 УПК РФ, предусматривающая использование в целях осуществления контроля за лицом, в отношении которого избрана мера пресечения в виде домашнего ареста, аудиовизуальных, электронных и иных технических средств контроля. Перечень и порядок применения таких средств определен постановлением Правительства РФ и не требует дополнительной регламентации в уголовно-процессуальном законодательстве; - «электронная почта». Статьи 42, 313 УПК РФ предусматривают возможность использования электронной почты для уведомления лица о принятом процессуальном решении. Имеющееся нормативное регулирование, как и довольно однозначное понимание понятия электронной почты, не требует его дополнительного уточнения в УПК РФ. В то же время возможность использования электронной почты для получения уведомлений сейчас носит в УПК РФ скорее частный характер (только в двух случаях); - «электронные сообщения». Статья 185 УПК РФ устанавливает необходимость осмотра и выемки сведений, имеющих значение для уголовного дела, содержащихся в электронных сообщениях или иных передаваемых по сетям электросвязи сообщениях. Указанная формулировка не отличается корректностью, так как оставляет неясность в том, что подлежит осмотру и выемке, - «сведения, имеющие значение для уголовного дела» или «электронные сообщения или иные передаваемые по сетям электросвязи сообщения». Кроме того, может быть подвергнута сомнению достоверность полученного в результате данного следственного действия доказательства, проверяемость источника, так как при направлении электронных писем возможен подлог, письмо будет выслано с одного (указанного официально) сервера, тогда как на самом деле это может быть промежуточный «прокси» сервер, симулирующий настоящий. Протокол smtp, по которому передается электронная почта, не является верифицируемым и позволяет послать сообщение от имени любого пользователя сети любому. Причиной этому является наличие так называемых «открытых релеев». Без дополнительной процессуальной регламентации вышеуказанного мероприятия возможны произвольные (не всегда «процессуально корректные») действия по выемке сведений или сообщений; - «электронная подпись», «усиленная квалифицированная электронная подпись». В отдельных вопросах судопроизводства законодатель предусмотрел возможность использования разновидностей электронной подписи. В соответствии с ч. 1 ст. 474.1 УПК РФ ходатайство, заявление, жалоба, представление могут быть поданы в суд в форме электронного документа, подписанного лицом, направившим такой документ, электронной подписью. В полномочиях суда предусмотрена возможность изготовления в форме электронного документа с заверением усиленной квалифицированной электронной подписью как судебного решения (ч. 2 ст. 474 УПК РФ), так и исполнительного листа (ч. 2 ст. 393 УПК РФ). Порядок использования электронной цифровой подписи (ЭЦП) при подписании документов регламентирован ФЗ от 06.04.2011 № 63-ФЗ (ред. от 23.06.2016) «Об электронной подписи» [1]. Закон называет три вида электронной подписи: 1) простая - служит для подтверждения того, что документ исходит от определенного лица; 2) усиленная неквалифицированная - не только указывает на лицо, ее поставившее, но и подтверждает, что после ее проставления каких-либо изменений в документ не вносилось; 3) усиленная квалифицированная - обладает характеристиками неквалифицированной ЭЦП, но выдается только в специализированных центрах, имеющих аккредитацию от Минкомсвязи. Именно квалифицированная подпись согласно ФЗ «Об электронной подписи» придает документу полную юридическую силу (в полной мере заменяет рукописную подпись, а также печать организации). Учитывая вышеизложенное, полагаем, что электронные документы в уголовном судопроизводстве могут быть подписаны только ЭЦП второго или третьего вида (никак не первого), что требует уточнения формулировки в ч. 1 ст. 474.1 УПК РФ; - «электронный документ», «документ, выполненный электронным способом». Согласно ст. 474 УПК РФ любой процессуальный документ в уголовном судопроизводстве может быть выполнен электронным способом. Логическое толкование положений ст. 474 УПК РФ позволяет предположить, что речь идет о составлении документа с использованием компьютерной техники с последующей его распечаткой на бумажном носителе. Электронный документ - это документированная информация, представленная в электронной форме, т. е. в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах (п. 11.1 ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ (ред. от 19.12.2016) «Об информации, информационных технологиях и о защите информации» [2]). Согласно определению, представленному в п. 3.1 ГОСТ Р 7.0.8-2013. «Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения» (утв. Приказом Росстандарта от 17.10.2013 № 1185-ст) [3], электронный документ - это документ, информация которого представлена в электронной форме. Исходя из этого, можно сделать вывод, что электронный документ - это любой документ, который представлен в электронном виде, в том числе это может быть скан-образ документа, файл, набранный в текстовом редакторе, и т.п. Электронные документы могут быть формализованными, т. е. составленными в таком виде, который позволяет с помощью программных средств распознавать их содержимое, и неформализованными (например, скан-копия). Понятие электронного документа использовано в ст. 393, 474.1 УПК РФ, однако не конкретизировано в части формализации. Следовательно, в рамках обмена электронными документами участники уголовного судопроизводства могут использовать как формализованные, так и неформализованные документы; - «электронные носители информации» - термин, наиболее часто используемый применительно к процессуальной регламентации изъятия, хранения и копирования содержащейся на этих носителях информации, вещественных доказательств (ст. 81, 81.1, 82, 166, 182, 183 УПК РФ). Исчерпывающее определение электронного носителя содержит ГОСТ 2.051-2013. «Межгосударственный стандарт. Единая система конструкторской документации. Электронные документы. Общие положения», устанавливающий, что под электронным носителем понимается «материальный носитель, используемый для записи, хранения и воспроизведения информации, обрабатываемой с помощью средств вычислительной техники» [4]. Все вышеперечисленные положения УПК РФ касаются электронных носителей информации как локальных носителей данных, в то время как технологии хранения данных активно совершенствуются, что ведет к увеличению объема, повышению надежности, усложнению носителей данных. На уровне решений для предприятий (организаций) эта гонка приводит к усложнению решений по хранению данных. Стремление вендора5 к производительности линейно увеличивает количество физических дисков, участвующих в формировании одного логического носителя данных. В наше время с развитием SSD-накопителей потребность к объему данных продолжает расти, что приводит к более высоким требованиям к скорости записи и чтения. Вендор для увеличения скорости доступа, в силу ограничения скорости доступа на один физический диск, строит системы хранения, соединяя несколько физических дисков как один логический, распределяя доступ информации сразу на все диски. С одной стороны, мы имеем более быстрые показатели записи и чтения на логический диск, но с другой -процесс восстановления или изъятия данных с физических дисков значительно усложняется (хотя возможность восстановления увеличивается, так, все системы логического объединения дисков (raid) преследуют цель максимального сохранения информации, а значит, они, как минимум, дублируют блок информации, чтобы в случае выхода из строя физического носителя информация не потерялась). Фактически файл, расположенный на логическом диске одним сплошным куском, может состоять из 20 кусочков и каждый кусок файла может лежать на отдельном физическом диске. В таких случаях неприменим заложенный в статьях УПК РФ алгоритм поиска и изъятия электронных носителей информации, например, в ходе обыска или выемки. Так, 2 дата-центр в организации может состоять из нескольких серверных стоек с расположенными на них 30-100 серверами, на которых распределен огромный объем информации. Извлечение физических дисков всего дата-центра в ходе обыска не принесет желаемого результата, так как логическое распределение информации на этих дисках позволяет ее извлечь только в самом дата-центре. Перемещение же всех серверов дата-центра невозможно в силу сложности его инфраструктуры и большого объема оборудования. Носители данных можно классифицировать по типу доступа, представленного в табл. 1. Таблица 1 Облачные Сетевые Локальные Носители Paas1 usb-over-ip Локальные диски данных IaaS2 IaaS USB-флеш-накопитель Облачные хранилища Сетевые хранилища Телефоны CMS3 CMS Смартфоны Карты памяти CD, DVD 1 PaaS (Platform as a Service) - платформа как услуга. 2 IaaS (Infrastructure-as-a-Service) - инфраструктура как услуга. 3 CMS (Content management system) - система управления содержимым (контентом). При этом различные типы систем хранения (частные случаи носителей данных) могут относиться к нескольким типам доступа: - локальные носители данных - с этим типом носителей все достаточно прозрачно, из-за форм-фактора последних, их изъятие не представляет сложности, что и регламентируют ст. 81, 81.1, 82, 166, 182, 183 УПК РФ; - сетевые носители данных - могут представлять как простые элементы для изъятия, так и более сложно организованные элементы, изъятие которых требует глубоких познаний в технологиях организации хранилищ данных; - облачные носители данных - это сложно организованные элементы, изъятие которых практически невозможно либо по причине сложной организации, либо территориальной распределенности (физическое хранилище может находиться на территории другого государства). Для уяснения возможностей изъятия и доказательственного оформления электронной информации попробуем классифицировать носители данных по сложности извлечения данных с физических дисков. Для начала определим, что можно извлечь из носителя данных: • сам носитель данных (внутренний накопитель на жестком магнитном диске, оптические диски различных видов, магнитно-оптические диски, карты памяти различных форматов, USB-флэш-накопители, гибкие магнитные диски, интегральная микросхема памяти, оперативное запоминающее устройство ЭВМ и др.); • мета-данные (о носителе). Мета-данные - информация о носителе данных, уникально идентифицирующая носитель, его характеристики, также может содержать описание сложной структуры, частью которой является. На данный момент широко применяются следующие три класса мета-данных: 1. Внутренние мета-данные. Это информация, которая описывает составные части вещей, их структуру и что она собой представляет. В качестве примера можно привести размер и формат файла. 2. Административные мета-данные. Требуются для процессов обработки информации, а также для назначения вещи. Например, кто автор, редактор, когда был создан файл. 3. Описательные мета-данные. Используются, чтобы охарактеризовать природу файла и его признаки (к какой категории относится, с чем ещё связан)6; • данные. Для дальнейшего понимания правил работы с электронными носителями информации стоит определить часть извлекаемых сведений с физических носителей данных как «сырую» информацию, которую нужно обрабатывать, чтобы получить искомую информацию. Для удобства воспользуемся термином «данные» для описания сырой информации; • информация (искомая). Шифрование носителя данных никак не связано с его структурой организации, так как обычно шифрование применяют на самом верхнем уровне организации хранилища. Поэтому введем просто подкласс для шифрованных носителей данных. Итак, разделим носители данных на три класса (с учетом выделения подклассов для шифрованных носителей данных, представленных в табл. 2) Таблица 2 № п/п Возможно извлечение Класс Носитель Мета-данные Данные Инф-ция Носители данных 1 1 Да Да Да Да Локальные диски USB-флешнакопитель Телефоны Смартфоны Карты памяти CD, DVD 2 1ш Да Да Да Да 3 2 Нет Да Да Да IaaS Сетевые хранилища usb-over-ip 4 2ш Нет Да Да Да 5 3 Нет Нет Нет Да Paas IaaS Облачные хранилища CMS 6 3ш Нет Нет Нет Да Процедура извлечения информации для Классов 1 и 1ш: 1) обнаруживаем носитель данных (не требует специальных знаний); 2) обесточиваем/отключаем/вынимаем носитель (не требует специальных знаний); 3) фиксируем его мета-данные (требует специальных знаний); 4) изымаем носитель данных/данные/информацию (кроме 1ш) (возможно, требует специальных знаний); 5) (1ш) обнаруживаем или вычисляем ключ дешифрации (требует специальных знаний); 6) (1ш) дешифруем данные в информацию (требует специальных знаний). Процедура извлечения для Классов 2 и 2ш: 1) обнаруживаем носитель данных (требует специальных знаний); 2) физически ограничиваем доступ к носителю данных (не требует специальных знаний); 3) фиксируем его мета-данные (требует специальных знаний); 4) изымаем данные/информацию (кроме 2ш) (возможно, требует специальных знаний); 5) (2ш) обнаруживаем или вычисляем ключ дешифрации (требует специальных знаний); 6) (2ш) дешифруем данные в информацию (требует специальных знаний). Процедура извлечения для Классов 3 и 3ш (требует специальных знаний): 1) определение типа носителя данных (фактически ip адреса (dns-имени) сервиса, предоставляемого вендором); 2) определение владельца и учетных данных; 3) подключение к сервису с учетными данными владельца и смена пароля, чтобы избежать вмешательства; 4) обнаруживаем носитель данных; 5) фиксируем его мета-данные; 6) изымаем информацию (кроме 2ш); 7) (2ш) обнаруживаем или вычисляем ключ дешифрации; 8) (2ш) дешифруем данные в информацию. В некоторых случаях для Классов 2 и 3 определение носителя данных может быть сопряжено с некоторыми сложностями. Например, IaaS разрабатывался так, чтобы вливаться в текущую физическую инфраструктуру прозрачно. Поэтому могут быть проблемы с обнаружением носителей данных через этот сервис. Как видно из данных процедур, уже Классы 1 и 1ш требуют специальных знаний, которые далеко не всегда могут быть обеспечены простым участием специалиста в ходе следственного действия. В профессиональной экспертной деятельности в настоящее время уже имеются специальные разработки по получению информации с различных носителей данных. Так, для получения информации из облачных хранилищ существует программа «Мобильный Криминалист» - технико-криминалистическая экспертная программа, сделавшая возможным извлечение данных из облачного хранилища с помощью модуля Oxygen Forensic Extractor for Clouds [5]. Oxygen Forensic Extractor for Clouds может подключаться к облачному хранилищу, используя только данные учетной записи: адрес электронной почты и пароль. Как только соединение установлено, Oxygen Forensic Extractor for Clouds начинает извлечение данных. Сильной стороной данного модуля является не только извлечение данных, но и представление данных в удобном для анализа виде и наличие различных инструментов для анализа, что позволяет специалисту экономить очень много времени [6]. Другой пример: при использовании пользователями мобильных устройств на платформе Android приложения Play Market, Gmail и других приложений от компании Google при регистрации в них пользователь автоматически даёт согласие на отправку геоданных - это информация о географическом местоположении, хранящаяся в формате, который может быть использован в географических информационных системах. Это необходимо для работы сервисов Google, чтобы ускорить поиск на Google-картах или рекламных объявлений, которые пользователь видит на сервисах Google и сторонних сайтах. Отправка геоданных позволяет сохранять новые сведения о местоположении мобильного устройства, в том числе если пользователь передвигается по улице или совершает поездку на автомобиле [5]. Для того чтобы получить историю местоположений мобильного устройства, достаточно зайти на официальный сайт Google по ссылке: https:// maps. google.com/ locationhistory/, выполнить аутентификацию и выбрать интересующий нас временной интервал местоположений [7]. Уголовный процесс в силу различных причин не настолько «мобилен», ограничен, в том числе рамками «понимания» законодателем механизмов получения информации с электронных носителей. В результате в существующие правила традиционных следственных действий (обыск и выемка) «встроены» положения об изъятии электронных носителей информации, без анализа различий между такими носителями. Однако изъятие жесткого диска с персонального компьютера конкретного пользователя и изучение базы данных ЦОД из 100 серверов - задачи разного уровня сложности, требующие дифференцированного подхода. Такие носители данных, как сетевые хранилища, Paas, IaaS, облачные хранилища, CMS, позволяют получить только информацию, без возможности извлечения носителя (и получения мета-данных), что делает невозможным проведение необходимых процессуальных «манипуляций» для придания такому носителю статуса вещественного доказательства. Полагаем, что изучение вышеперечисленных носителей данных с целью получения доказательственной информации по делу не укладывается в рамки «классического» обыска или выемки и предусмотренное ч. 91.1 ст. 182, п. 3.1 ст. 183 УПК РФ участие специалиста не спасает ситуацию. В распоряжение должностного лица, осуществляющего производство по уголовному делу, поступает только информация, без ее материального носителя, что требует некоего иного процессуального оформления с целью сохранения доказательственного значения такой информации. Для их изучения в ходе уголовного судопроизводства необходимы специализированный механизм и процессуальная форма, детальная регламентация (возможно, в виде «специального вида» выемки электронной информации (без получения носителя) - для облачных хранилищ либо в виде производства экспертизы в месте нахождения базы данных ЦОД). Таким образом, говорить о возможном правовом регулировании процедуры использования электронных носителей информации в качестве доказательств по уголовным делам можно только в случае, если имеет место быть ситуация, предполагающая возможность обнаружения, изъятия и фиксации электронного носителя в материальном виде (в простом варианте - персональный компьютер в жилище или офисе). Если же доступ к материальному носителю электронной информации затруднен или невозможен, то следует констатировать тот факт, что действующий УПК РФ сегодня оставляет эти ситуации не урегулированными.

Скачать электронную версию публикации