– в легальных сетевых ресурсах, используемых в преступной деятельности (почтовых серверах, вычислительных мощностях провайдеров хостинга, ресурсах провайдера по предоставлению доступа в Интернет и пр.).

Цифровые следы существуют в виде дамп оперативной памяти и дамп трафиков, файлы и их обрывки, создаваемая программными и аппаратным средствами их получения служебная информация об этих файлах, располагающиеся на материальных носителях информации в виде цифровых кодированных последовательностей¹²³. Наиболее распространенная их форма – лог-файлы. Лог – это журнал автоматической регистрации событий в рамках какой-либо программы или сети. Почти любое действие в рамках информационной системы может отражаться в лог-файле¹²⁴. Их источниками в сетевых ресурсах сети Интернет могут быть:

1) провайдеры хостинговых услуг: в частности, лог-файлы подключений к сетевому ресурсу и статистические данные учета сетевого трафика, свидетельствующие о сетевой активности пользователей;

2) цифровые копии содержимого серверов и облачных хранилищ данных¹²⁵.

Однако, как подчеркивает А. И. Семикаленова, такая информация доступна для восприятия человека только посредством использования специализированных программных и аппаратных средств, осуществляющих декодирование и визуализацию в привычной графической, текстовой или звуковой форме, и могут быть получены и интерпретированы в полном объеме и без изменения содержания только с использованием специальных знаний¹²⁶.

Изучение лог-файлов подключений к серверу позволяет выявить сетевые адреса пользователей ресурса, установить их личности в том случае, если пользователем не были применены техники, позволяющие анонимизировать его в Сети. В ходе исследований копий содержимого серверов и облачных хранилищ могут быть найдены экземпляры использовавшихся злоумышленником вредоносных программ, сетевые реквизиты пользователей (например, данные учетных записей, IP-адреса подключений, адреса других серверов сетевой структуры). Именно эта информация поможет установить, например, сетевые адреса серверов, с которых распространялись или управлялись вредоносные программы, форумов для общения компьютерных преступников, виртуальных обменных и платежных систем.

При исследовании цифровых следов в сети В. Б. Вехов предлагает введение термина «дорожка электронных следов», аналогично трасологическим, которая обозначает систему образования следов в информационно-телекоммуникационных сетях, состоящую из нескольких последовательно расположенных по времени и логически взаимосвязанных записей о прохождении компьютерной информации по линиям связи через коммутационное оборудование оператора(–ов) связи от компьютера преступника до компьютера потерпевшего¹²⁷. На наш взгляд, такая интерпретация вполне логична и оправданна.

Несмотря на большое разнообразие способов совершения преступлений в сфере компьютерной информации, источники криминалистически значимой информации будут примерно одни и те же при любом из них. В частности, это будут разного рода идентификаторы, позволяющие установить конкретное устройство или точку соединения (например, IP или MAC¹²⁸ адреса, IMEI¹²⁹, ICCID¹³⁰ и др.), лог-файлы, данные, предоставляемые провайдерами (например, сетевой трафик и его статистика, сведения о соединениях, лог-файлы подключений и пр.), и данные, содержащиеся на носителях и непосредственно воспринимаемые следователем (фото, видео, текстовые файлы, переписки, установленные программы и приложения и пр.).

К стандартным местам их нахождения относятся:

а) постоянное и оперативное запоминающее устройства компьютера;

б) оперативные запоминающие устройства периферийных устройств;

в) внешние носители цифровой информации (например, флеш-карты, съемные жесткие диски и пр.);

г) сервера (локальных или глобальной сети);

д) облачные хранилища.

Не умаляя значения цифровых следов, при расследовании преступлений в сфере компьютерной информации не стоит забывать и о традиционных – трасологических, биологических и пр., месторасположение которых обусловлено механизмом их следообразования.

Способ совершения преступления и личностные характеристики субъекта находятся в неразрывной связи с иными обстоятельствами, подлежащими доказыванию, являющимися элементами криминалистической характеристики – личностью потерпевшего, обстановочными факторами (местом, временем и др.).

Виктимологический аспект является важной составляющей криминалистической характеристики. Вместе с тем, ему уделено много меньше внимания по причине высокой латентности преступлений в сфере компьютерных технологий и частой обезличенности потерпевшего.

При этом выбор жертвы напрямую зависит от мотивации преступника и его целей. Так, если речь идет о корыстном мотиве, то чаще всего непосредственной атаке подвергается не сам человек (за исключением атак, основанных на социальной инженерии), а информационная система – компьютер или их сеть. Соответственно, при выборе цели преступник ориентируется не на личностные или демографические характеристики потенциальной жертвы, а на размер потенциального выкупа, состояние и уровень защищенности компьютерной системы и пр. Также при совершении преступных деяний из хулиганских побуждений, четкие связи субъекта с потерпевшей стороной не прослеживаются.

Например, пользователь социальной сети «ВКонтакте» под псевдонимом «Артур Амаев», который позиционирует себя как «стример», присоединялся к обучающим онлайн-трансляциям школьников, разыгрывал их, при этом вел себя вызывающе, хамил, фактически срывал проводимые дистанционным образом учебные занятия, в связи с чем было возбуждено уголовное дело по признакам преступления, предусмотренного ч. 1 ст. 272 УК РФ¹³¹.

Однако, если ведущим мотивом выступает месть, личная неприязнь, устранение конкурентов, то личное знакомство с преступником, социальные связи потерпевшего играют ключевую роль. Так, например, г-н П. был осужден по ч. 2 ст. 272 УК за то, что, будучи уволенным за прогулы, осуществил неправомерный доступ к компьютерной информации организации, где работал до увольнения, что повлекло уничтожение программного обеспечения Microsoft Server 2012, Microsoft Lync 2013, 1С Бухгалтерия, 1С Торговля и др., вследствие чего была безвозвратно уничтожена информация о хозяйственно-финансовых отношениях с контрагентами, об объеме и периодичности товарооборота, финансовые показатели деятельности организации, финансовая, бухгалтерская и налоговая отчетность и причинен существенный ущерб¹³². Или: В., являясь генеральным директором ЗАО «Х», с целью создания условий для разрыва деловых отношений, установленных между ОАО «А» и ООО «А» по оказанию обществом услуг по продаже электронных авиабилетов ОАО «А», и устранения конкурента своей фирмы в данной сфере, принял решение дискредитировать ООО «А» как надежную фирму. Для этого В., вступив с подчиненным ему ведущим специалистом службы информационной безопасности ЗАО «Х» П., а также И. и Д., занимавшихся оказанием «хакерских услуг», в предварительный сговор, и действуя согласно единого преступного плана и отведенных каждому участнику группы ролей, осуществили компьютерную DDoS-атаку (типа «отказ в обслуживании») на информационные ресурсы ООО «А». Осуществление данной компьютерной атаки привело к блокированию работы системы оплаты и приобретения электронных билетов на сайте ОАО «А» на весь период атаки¹³³.

Анализ отечественных, зарубежных литературных и иных источников, судебно-следственной практики в ракурсе виктимологии показал, что в качестве потерпевших по данной категории дел могут выступать: государство в лице органов государственной власти и управления, организации и предприятия всех форм собственности, физические лица. При этом выделим пугающие тенденции последних лет:

– глобальность характера кибератак и их последствий (например, в ходе атаки на инфраструктуру водоснабжения и канализации в Израиле хакеры планировали изменить концентрацию хлора в подаваемой в жилые дома воде, что привело бы к массовому отравлению, инцидент с отключением электроэнергии из-за кибератаки в Индии сказался на работе фондовой биржи, больниц и транспортной системы нескольких городов¹³⁴);