The article examines the tactical aspects of appointing and conducting a computer-technical examination as part of investigating computer crimes. The article considers the procedural grounds for appointing a computer-technical examination, the key stages of its implementation, including the creation of digital images and data analysis, as well as problems associated with the study of encrypted information and cloud storage. Particular attention is paid to the requirements for the expert's opinion and his role in forming the evidence base.

Keywords: computer-technical examination, digital traces, cybercrime, forensic examination, evidence, computer crimes.

Современное развитие цифровых и информационных технологий привели к значительному росту компьютерных преступлений, что требует совершенствования методов их расследования. Одним из ключевых инструментов в этой сфере является компьютерно-техническая экспертиза (далее — КТЭ), которая позволяет выявлять, фиксировать и анализировать цифровые следы.

КТЭ представляет собой вид судебной экспертизы, направленной на исследование цифровых данных, программно-аппаратных комплексов и компьютерных сетей с целью установления обстоятельств, имеющих значение для уголовного, административного или гражданского судопроизводства. Ее проведение базируется на специальных знаниях в области информационных технологий, криминалистики и юриспруденции.

Предметом КТЭ являются фактические данные, устанавливаемые в ходе исследования цифровых носителей, системных журналов, сетевого трафика, программного кода и иных артефактов, связанных с использованием компьютерных технологий. Объекты КТЭ можно классифицировать следующим образом: Аппаратные компоненты (жесткие диски, SSD, USB-накопители, мобильные устройства, серверы); программное обеспечение (операционные системы, приложения, вредоносные программы, базы данных); сетевые данные (логи серверов, перехваченный трафик, метаданные электронной почты, сообщения мессенджеров); киберфизические системы (данные с IoT-устройств, промышленных систем управления).

Назначение КТЭ должно основываться на четком понимании целей исследования и процессуальных требований. В соответствии со ст. 195 УПК РФ, экспертиза назначается при необходимости специальных знаний в области науки, техники или ремесла [1].

Процесс назначения КТЭ условно можно разделить на следующие последовательные этапы: определение наличия основания для назначения КТЭ, определение рода и вида назначаемой экспертизы, выбор экспертного учреждения, подготовка объектов, направляемых на судебную экспертизу, постановка вопросов эксперту, вынесение постановления о назначении КТЭ, ознакомление с постановлением о назначении судебной экспертизы подозреваемого (обвиняемого), направление постановления и объектов в экспертное учреждение [2].

При расследовании киберпреступлений круг вопросов, решаемых экспертом, может включать идентификацию устройства, установление фактов несанкционированного доступа, анализ вредоносного ПО, восстановление удаленных данных и определение способа совершения преступления.

В зависимости от категории уголовного дела и специфики расследования перед экспертом могут быть поставлены следующие вопросы:

1. Идентификационные

– Какое устройство использовалось для совершения преступления?

– Какие учетные записи и профили связаны с подозреваемым?

– Имеются ли признаки модификации аппаратной или программной части устройства?

2. Диагностические

– Каков механизм несанкционированного доступа к системе?

– Какие действия выполнялись на компьютере в определенный период времени?

– Содержатся ли на носителе следы удаления или сокрытия данных?

3. Классификационные

– К какому типу относится вредоносное программное обеспечение?

– Каким способом осуществлялась передача похищенной информации?

4. Реконструкционные

– Возможно ли восстановить удаленные файлы или журналы событий?

– Какие данные были изменены или повреждены в результате кибератаки?

5. Технико-криминалистические

– Какие инструменты использовались для взлома или сокрытия следов преступления?

– Соответствуют ли метаданные файлов заявленным обстоятельствам дела?

Важно, чтобы постановление о назначении экспертизы содержало конкретные вопросы, сформулированные с учетом рекомендаций Верховного Суда РФ (п. 7 Постановления Пленума ВС РФ от 21.12.2010 № 28) [3].

Проведение КТЭ требует строгого соблюдения методических принципов, включая сохранение целостности цифровых данных. Одним из ключевых этапов является создание образа носителя информации с применением аппаратно-программных комплексов, таких как EnCase, FTK или AFF4, что исключает модификацию исходных данных [4]. При этом должны соблюдаться требования ФЗ «О государственной судебно-экспертной деятельности», гарантирующие объективность и научную обоснованность выводов [5].

Особую сложность представляет исследование данных в облачных средах и на зашифрованных носителях. В таких случаях применяются методы криптоанализа или используются дефекты реализации алгоритмов шифрования [6]. Однако принудительное вскрытие шифрования может противоречить ст. 23 Конституции РФ, что требует взвешенного подхода и судебного контроля. Заключение эксперта должно быть четким, логичным и соответствовать критериям допустимости доказательств (ст. 75 УПК РФ). Нередко ошибки возникают из-за некорректной интерпретации технических данных, что подчеркивает необходимость взаимодействия экспертов со следственными органами на ранних этапах расследования [7].

Таким образом, тактика КТЭ должна основываться на комплексном учете технических, процессуальных и этических аспектов. Совершенствование методик, подготовка квалифицированных кадров и межведомственное сотрудничество являются ключевыми направлениями повышения эффективности борьбы с компьютерной преступностью.

Литература:

1. Уголовно-процессуальный кодекс Российской Федерации от 18.12.2001 N 174-ФЗ (ред. от 07.06.2025)
2. Звягин Иван Сергеевич, Головчанский Алексей Владимирович Особенности подготовки и назначения судебной компьютерной экспертизы при расследовании преступлений // Вестник ВИ МВД России. 2023. № 2. С. 218.
3. Постановление Пленума Верховного Суда РФ от 21.12.2010 N 28 (ред. от 29.06.2021) «О судебной экспертизе по уголовным делам»
4. Casey E. Digital Evidence and Computer Crime. — Academic Press, 2011.
5. Федеральный закон «О государственной судебно-экспертной деятельности в Российской Федерации» от 31.05.2001 N 73-ФЗ (последняя редакция)
6. Зефиров А. С. Криминалистическое исследование цифровых следов. — М.: Проспект, 2020.
7. Майлис Н. П. Судебная экспертиза: теория и практика. — М.: Юрайт, 2019