Часть третья. ПРОФАЙЛИНГ ШАГАЕТ ПО ПЛАНЕТЕ

НОВЫЕ ГОРИЗОНТЫ

Современный мир становится, к сожалению, все более угрожающим. Среди его основных опасностей на первый план начинают выходить не «обычные» преступления, а такие как терроризм, киберпреступления. Эволюция глобальной преступности приводит к необходимости оперативного противостояния этим криминальным явлениям. И профайлинг может стать весьма эффективным оружием в борьбе с этими угрозами.

В настоящее время методы профилирования используются во все большем числе расследований террористических актов и преступлений, совершенных киберпреступниками. Если с момента своего создания криминалистический профайлинг использовался исключительно только для поиска серийных насильственных преступников, то сейчас концепция его использования изменилась. Наряду с серийными убийцами и насильниками объектом профилирования все чаще становятся террористы и хакеры. 

В ФБР США, например, произошла заметная трансформация Национального центра изучения насильственных преступлений. В его структуре появились два новых отдела поведенческого анализа – один занимается проведением профилирования по делам связанным с терроризмом, другой разрабатывает профили киберпреступников. В других странах также уделяют большое внимание этим вопросам.

Может ли профилирование преступлений эффективно использоваться для расследования террористических актов? Безусловно! И история развития криминалистического профайлинга этому свидетельство. Мы уже здесь рассказывали об использовании профайлинга при раскрытии преступлений «Безумного бомбителя», «Унабомберара», «Баварской Освободительной Армии». Были и другие подобные дела.

Один из ярких примеров использования метода профилирования при расследовании преступлений подобного плана – террористический акт на Олимпийских играх в Атланте в 1996 году.

Бомба взорвалась прямо в Олимпийском парке, среди множества людей. Итог – двое погибших и более 100 раненых. Оказалось, что взрывное устройство было вмонтировано в кусок металлической трубы и помещено в рюкзак. Охранник парка Ричард Джуэлл первым заметил подозрительный рюкзак. Он предупредил полицию об этом и помогал эвакуироваться посетителям парка, когда бомба взорвалась. Первоначально Джуэлл был провозглашен средствами массовой информации героем, но через несколько дней выяснилось, что ФБР считает его главным подозреваемый. И значительная вина в этом лежала на недостаточно квалифицированном профиле, разработанном в спешке одним из профайлеров. Предполагаемый преступник был описан как бывший полицейский или человек мечтавший им стать и очень жаждавший прославиться. 

Американская полиция в тот момент попала под колоссальный прессинг. Все требовали максимально быстрого раскрытия дела. В попытке дать результат полиция и попыталась повесить вину на охранника, который очень походил на разработанный профиль. В ФБР не стали разбираться в ситуации, назвали Джуэлла подозреваемым номер один и надеялись закрыть расследование. Но всё оказалось сложнее. Трагедия на Играх в Атланте взбудоражила мир. Эти события подвигли знаменитого режиссёра Клинта Иствуда создать фильм «Баллада о Ричарде Джуэлле», история которого основывалась на реальных фактах и показывала, как охранник прошёл путь от национального героя до главного виновника теракта.

Найти настоящего преступника удалось лишь год спустя. И то после того, как он совершил ещё несколько похожих терактов. Им оказался Эрик Роберт Рудольф, который после организации взрыва на Олимпиаде в Атланте совершил теракт у клинике по абортам в пригороде той же Атланты, а также у местного ночного клуба для гомосексуалистов. После того, как он был установлен ответственным за взрывы, ему удавалось еще семь лет скрываться от полиции и он входил в десятку самых разыскиваемых преступников США.

А помочь изобличить Рудольфа в совершении преступлений помог повторный профиль, разработанный специалистами из ФБР.

Рудольф был описан как террорист типа «одинокого волка». Как следует из названия, они действуют в одиночку, хотя могут придерживаться определенной идеологии или религии другого движения или организации. Их убеждения часто коренятся в крайне правых идеологиях. Рудольф как раз и характеризовался такими взглядами. Также профайлеры указали, что преступник или служит в армии или имел большой армейский опыт.

Все это, в совокупности с другими данными и обстоятельствами, и позволило полиции выйти на Рудольфа.

Одной из первых европейских стран, которая стала использовать профилирование в процессе предотвращения преступлений террористического характера, стала Германия.

Апробация произошла во время поиска активных членов террористической организации Rote Armee Fraktion (сокращенно - RAF). Полицейским службам было известно, что явочные квартиры снимаются на подставных лиц, а сокрытие информации происходит путем внесения недостоверных сведений в платежные документы. Благодаря полученной информации было принято решение систематизировать данные о владельцах домовладений и соотнести их с информацией, включенной в квитанции об оплате коммунальных платежей. Иными словами, был создан специальный профиль террориста – лицо, живущее на съемной квартире, пытающееся скрыть свои данные от налоговых и коммунальных служб.

Системе поиска был дано название «Rasterfahndung» (пер с нем. – «поиск сетью»). Благодаря этой системе поиска был пойман один из лидеров RAF Рольф Гейхард Хайслер.

Система «Rasterfahndung» была положительно оценена немецкими спецслужбами и в последующем была расширена. После террористического нападения на Всемирный торговый центр 11 сентября 2001 г. практически сразу в Германии была учреждена специальная Координационная группа по борьбе с терроризмом, разработавшая общегосударственные критерии для обнаружения в Германии потенциальных исламистских террористов, которым был присвоен даже специальный термин – «Спящие». Информация для этого черпалась из различных источников: сведения из высших учебных заведений, данные от транспортных компаний о перемещении лиц, государственные информационные ресурсы.

В связи с взрывным ростом в последние годы преступлений связанных с информационными системами и сетями, большой внимание стало уделяться и использованию профилирования при поиске киберпреступников, которые развивают и усиливают свои атаки угрожающими темпами. В особенности это происходит в последний год, когда преступники используют страх и неуверенность, вызванные нестабильной социальной и экономической ситуацией из-за Covid-19. Спектр криминальных угроз при этом чрезвычайно широк – кибертерроризм, кибершантаж, кибербуллинг, киберсталкинг. В настоящее время киберпреступники являются преобладающим типом преступников и по мере развития технологий спектр криминальных угроз и вызовов будет продолжать расти. 

В отличие от традиционных мест преступлений, где следователь может непосредственно воспринимать обстановку преступного события, наблюдать и лично осязать улики, которые оставил преступник и, отталкиваясь от этого, делать вывод об особенностях личности преступника, киберпреступления не так легко исследовать и уж тем более непосредственно наблюдать место преступления – нет физического оружия или видимых улик, которые могли бы способствовать искусству профилирования.

Но, в то же время, компьютерные преступления не так уж сильно и отличаются от обычных преступлений, как может показаться. Собирая и анализируя детали цифровых преступлений, эксперт-аналитик тоже может составить профиль преступника. Однако для того, чтобы сделать это точно, эксперт должен обладать уникальным сочетанием знаний в различных сферах, включая, методы профилирования, компьютерные технологии, кибербезопасность, цифровую криминалистику, а также традиционные методы криминалистики: допроса, осмотра, обыска и т.п. Можно быть экспертом в области профилирования, но без глубоких знаний компьютерных технологий и цифровых исследований практически невозможно точно определить личность преступника, совершившего компьютерное преступление.

Во время взлома и кражи данных эксперты разбираются в программах и методах, с помощью которых совершено преступление; анализируют жертву, выискивают мотивы. Тщательно анализируется информация, которая была украдена. Точно также они поступают и тогда, когда компьютерные сети используют для шантажа, угроз, сталкинга.

Разрабатывается и специальная методология проведения профилирования при расследовании компьютерных преступлений. Но она базируется на традиционной методологии по формуле «Почему+Как=Кто». Определение причины и способа совершения преступления будет способствовать раскрытию того, кто совершил преступление.

В этой области есть и свои авторитеты «киберпрофилирования». Один из них Рэй Йепс, который имеет огромный опыт работы в качестве эксперта по компьютерной безопасности и уголовным расследованиям. Он помогал и консультировал местные и федеральные правоохранительные учреждения по вопросам национальной безопасности и громким уголовным расследованиям. Его первое «киберпрофилирование» относится к 1995 году, когда он участвовал в расследовании ФБР дела о детской порнографии. С тех пор Рэй занимался профилированием компьютерных преступлений по более чем нескольким сотням дел.

Чтобы понять, как действует «киберпрофайлер», какими он пользуется методами и в чем их отличие от традиционных, рассмотрим одно из подобных расследований. Несколько лет назад крупная нефтяная компания стала жертвой киберпреступления, и, в связи с масштабностью и чувствительностью инцидента, ФБР было привлечено для оказания помощи в расследовании кибератаки, а Йепс был привлечен для оказания помощи в составлении профиля неизвестного преступника.

Первой задачей Йепса как профайлера было сузить список возможных подозреваемых в преступлении. Нужно было определить откуда была атака – извне (тогда число подозреваемых было бы свыше 6 миллиардов человек) или изнутри (число подозреваемых около 60000 человек). Пришлось изучать всю инфраструктуру ИТ, проводить многочисленные опросы специалистов данной компании.

Следующей задачей было проанализировать атаку с технологической точки зрения. На этом этапе профайлер изучил каким способом было совершено преступление, к каким изощрениям прибег преступник для достижения своей цели. Понимание уровня изощренности действий хакера, чрезвычайно важно при составлении профиля по киберпреступлениям.

Далее необходимо было понять кто являлся целью кибератаки, кто был жертвой и почему. Для этого нужно было получить ответы на целый ряд вопросов. Была ли атака направлена на уничтожение или кражу информации? Какой тип информации (например, номера кредитных карт, интеллектуальная собственность или информация о бизнесе) был скомпрометирован? Какова оценочная стоимость скомпрометированной информации? Эта информация имеет решающее значение для разработки профиля преступника.

Йепс, выяснив через какой порт пошла атака, определил, что она была осуществлена изнутри компании. Затем, исследовав системы, которые были заражены в числе первых, определил место из которого атака началась – здание большого комплекс компании, расположенного в Техасе, в котором размещалось около 1200 сотрудников.

Теперь предстояло ответить на вопрос «Почему?». Выяснилось, что похищенные средства переводились на счета в разных странах, но никто ими не воспользовался. Это и ряд других обстоятельств позволили сделать вывод, что преступник действовал в одиночку и был мотивирован желанием отомстить за что-то руководству компании.

Дальнейшее изучение исходного кода программы, использованной для взлома, показало, что преступник имел достаточно высокое математическое образованием и это открытие побудило Йепса сузить список подозреваемых до семи сотрудников, которые имели веские основания проявить недовольство руководством и имели доступ в помещение серверной откуда началась атака.

Следователи опросили всех, кто вошел в эту группу и все они были исключены из числа подозреваемых по различным основаниям. Например, один из них, бухгалтер по должности, был немедленно исключен, поскольку допрос показал, что этот человек не обладает знаниями, необходимыми для организации такого нападения.

Через неделю расследования дела зашло в тупик. «Почему» и «Как» были установлены, но «Кто» оставался неизвестным, поэтому было решено провести второй раунд допросов. В число допрашиваемых вошли все 19 научных и IT-сотрудников, находившихся в здании. Но опять пусто!

Было принято решение прекратить расследование и пока следователи упаковывали свое оборудование, Йепс, проходя мимо кабинета бухгалтера, заметил на его столе странное электронное устройство – бинарные часы. Йепс был озадачен, потому что не многие люди умеют читать бинарные часы, а бухгалтер был одним из тех, кого опрашивали сразу же, но посчитали, что он не обладает необходимыми знаниями в области информационных технологий.

Притворяясь несведущим, Йепс спросил бухгалтера, что это за устройство и как оно работает. Бухгалтер объяснил в мельчайших подробностях как работают бинарные часы. И Йепс понял, что бухгалтер намерено преуменьшил свои технические познания во время допроса. Он подошел к агенту, ответственному за расследование и поделился этой информацией. Через час после начала нового допроса бухгалтер признался в совершенном преступлении.

Приведенный пример расследования показывает важность знаний эксперта-профайлера в различных отраслях знаний для точного составления психологического портрета киберпреступника. Можно быть экспертом в профилировании, но без глубокого понимания соответствующих технологий сейчас уже невозможно точно заниматься профилированием киберпреступников.