Аннотация:  В статье проводится системное исследование экспертизы компьютерной программы как научно-практического направления, занимающего пограничное положение между программной инженерией, судебной экспертизой и правоведением.  Рассматриваются концептуальные определения, классификационные критерии, процессуальные основания и этапы проведения экспертного исследования.  Особое внимание уделено методологическому аппарату, включающему методы статического, динамического и сравнительного анализа, а также правовым аспектам применения заключений эксперта в судебной практике.  Материал основан на анализе действующего законодательства, стандартов в области программного обеспечения и сложившейся экспертной практики.

1.  Введение:  Актуальность и правовая природа экспертизы

В условиях формирования цифровой экономики компьютерная программа из объекта исключительно технической сферы трансформировалась в сложный объект правовых отношений, интеллектуальной собственности и потенциальных судебных споров.  Её некорректная работа или преднамеренная модификация могут привести к существенному материальному ущербу, нарушению конфиденциальности данных и сбоям в функционировании критически важной инфраструктуры.

Экспертиза компьютерной программы представляет собой процедуру специального исследования, проводимого экспертом на основе научных и специальных технических знаний в области информационных технологий, программирования и системного анализа, направленную на установление обстоятельств, имеющих значение для разрешения судебного спора или иного юридически значимого вопроса.  Данный вид исследования является структурной частью компьютерно-технической экспертизы — одного из ключевых направлений деятельности современного экспертного учреждения, такого как Центр инженерных экспертиз.

Актуальность темы обусловлена ростом числа судебных дел, связанных с нарушением авторских прав на ПО, неисполнением договоров на разработку и внедрение программных продуктов, инцидентами информационной безопасности, а также спорами о качестве и функциональном соответствии программного обеспечения.  Примерно 75% всех экспертиз в рассматриваемой сфере проводятся по запросам арбитражных судов и судов общей юрисдикции, что подтверждает их высокую востребованность в правоприменительной практике.  Оставшаяся часть приходится на независимую досудебную экспертизу, играющую превентивную и доказательственную роль.

2.  Объект, предмет и классификационные параметры экспертизы

2. 1.  Объект и предмет исследования

Первичным объектом экспертизы компьютерной программы выступает сама программа для ЭВМ в любой форме её объективного выражения:

• Исходный код (текст программы) на языке программирования высокого или низкого уровня.
• Исполняемый (объектный) код, готовый к загрузке и выполнению на целевом процессоре.
• Аудиовизуальные отображения, генерируемые программой.
• Подготовительные материалы, полученные в ходе её разработки (техническое задание, алгоритмы, схемы).
• Документация, сопутствующая программе (руководства пользователя, системного администратора, описание API).

Косвенными объектами могут являться аппаратные носители информации, логи работы системы, дампы оперативной памяти, конфигурационные файлы и данные, обрабатываемые программой.

Предметом экспертизы являются фактические данные (факты), устанавливаемые в ходе исследования и имеющие доказательственное значение.  К ним относятся:

Установление тождества или различий между сравниваемыми программами (например, при расследовании фактов плагиата).

Определение функционального назначения программы и её соответствия заявленным требованиям или техническому заданию.

Идентификация наличия, характера и причин возникновения дефектов, ошибок, сбоев.

Выявление недекларированных (в том числе вредоносных) возможностей.

Установление фактов модификации программы, её взлома или обхода средств защиты.

Определение стоимости программы и оценки ущерба от её неправильной работы или нарушения прав на неё.

2. 2.  Классификация видов экспертизы

Классификация может быть проведена по нескольким основаниям:

По процессуальному статусу:

Судебная экспертиза.  Назначается определением суда или постановлением следователя (дознавателя) в рамках уголовного, гражданского, арбитражного или административного дела.  Именно по запросам органов предварительного следствия (МВД, СК, ФТС) выполняется значимый блок инженерных и компьютерно-технических экспертиз.  Заключение является самостоятельным доказательством.

Независимая (досудебная) экспертиза.  Проводится по инициативе физических или юридических лиц для урегулирования спора до суда, оценки рисков или подтверждения/опровержения фактов.  Её результаты могут быть впоследствии представлены в суд.

По цели и задачам:

• Идентификационная.  Решает задачи установления тождества программы, её автора или средства создания.
• Диагностическая.  Направлена на выявление состояния, свойств, причинно-следственных связей (например, почему программа даёт сбой).
• Классификационная.  Относит программу к определённому классу (например, коммерческое ПО, свободное ПО, вредоносное ПО).
• Оценочная (расчётно-аналитическая).  Определяет стоимость, объём работ, размер ущерба.

По направленности исследования:

• Экспертиза на соответствие техническому заданию/договору.
• Экспертиза качества программного кода и архитектуры.
• Экспертиза авторских прав и плагиата.
• Экспертиза вредоносного программного обеспечения.
• Экспертиза безопасности программы (аудит защищённости).

3.  Процессуальные и организационные основы проведения экспертизы

3. 1.  Правовые основания

Проведение экспертизы компьютерной программы регламентируется:

Процессуальными кодексами РФ (УПК, ГПК, АПК, КАС), которые устанавливают основания для назначения, права и обязанности эксперта, требования к заключению.

Федеральным законом от 31. 05. 2001 № 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации» (в части государственных экспертных учреждений).

Для негосударственных экспертных организаций, таких как Центр инженерных экспертиз, ключевыми являются нормы Гражданского кодекса РФ о возмездном оказании услуг и соблюдение требований процессуального законодательства при выполнении судебных поручений.

3. 2.  Стадии экспертного исследования

Процесс экспертизы включает последовательные этапы:

Предварительное исследование.  Эксперт изучает постановление (определение) о назначении экспертизы или договор, формулирует вопросы, оценивает достаточность и пригодность представленных материалов.  Определяет методику и средства исследования.

Детальное исследование.  Непосредственное изучение объектов экспертизы с применением специальных методов и инструментария.  На этой стадии производится статический и динамический анализ кода, тестирование, сравнение и т. д.

Оценка результатов и формулирование выводов.  Систематизация полученных данных, их критическая оценка на предмет достоверности и полноты, формиление ответов на поставленные вопросы.

Оформление заключения эксперта.  Составление письменного документа, состоящего из вводной, исследовательской частей и выводов.  Заключение должно быть научно обоснованным, ясным и полным.

3. 3.  Специальное оборудование и программные средства

Для проведения экспертизы используется специализированный инструментарий:

Аппаратные средства:  стенды для изоляции исследуемого ПО (песочницы), анализаторы сигналов, устройства для считывания данных с повреждённых носителей.

Программные средства:  дизассемблеры и декомпиляторы (IDA Pro, Ghidra), отладчики (OllyDbg, x64dbg), анализаторы кода (SonarQube, PVS-Studio), средства мониторинга системной активности (Process Monitor, Wireshark), специализированные дистрибутивы для компьютерной криминалистики (CAINE, DEFT).

4.  Методологический аппарат экспертизы компьютерной программы

Методология экспертизы базируется на системе взаимодополняющих методов.

4. 1.  Статический анализ

Проводится без выполнения кода программы.  Включает:

Анализ исходного кода (code review):  поиск синтаксических ошибок, нарушений стандартов кодирования, уязвимостей (SQL-инъекции, XSS, переполнение буфера), «запахов кода» (code smells), указывающих на потенциальные проблемы архитектуры.

Анализ метаданных и структуры исполняемого файла:  изучение заголовков, секций, импортируемых библиотек, строковых констант, цифровых сертификатов.

Дизассемблирование и анализ ассемблерного листинга:  позволяет исследовать логику программы при отсутствии исходного кода.

4. 2.  Динамический анализ

Исследование программы в ходе её выполнения в контролируемой среде (песочнице, виртуальной машине):

• Трассировка и отладка:  пошаговое выполнение программы с наблюдением за состоянием регистров, памяти и логикой потока выполнения.
• Анализ системных вызовов и сетевой активности:  определение, с какими ресурсами системы взаимодействует программа (файлы, реестр, сетевые узлы).
• Фаззинг (fuzzing):  подача на вход программы некорректных, неожиданных или случайных данных для выявления аномалий поведения и уязвимостей.
• Функциональное и нагрузочное тестирование:  проверка соответствия поведения программы заявленным функциям и её устойчивости при различных нагрузках.

4. 3.  Сравнительный анализ

Применяется для решения идентификационных задач и установления фактов заимствования кода.  Использует методы:

• Сравнение хэш-сумм файлов (MD5, SHA-256) для точного установления тождества.
• Сравнение алгоритмических и структурных особенностей (последовательности алгоритмов, структуры данных, архитектуры модулей).
• Сравнение текстов исходных кодов с использованием специализированного ПО для выявления плагиата (например, MOSS, JPlag).

4. 4.  Документальный анализ

Изучение сопроводительной технической документации, технических заданий, лицензионных соглашений, комментариев в коде для установления соответствия программы исходным требованиям и условиям договора.

5.  Практическое применение и оформление результатов

5. 1.  Типовые вопросы, решаемые экспертизой

Перед экспертом могут быть поставлены следующие группы вопросов:

Качественные и функциональные:

• Соответствует ли представленная программа требованиям технического задания (договора)?
• Содержит ли программа дефекты, и если да, то как они влияют на её работоспособность?
• В чём причина конкретного сбоя в работе программы?

Идентификационные:

• Являются ли представленные экземпляры программ тождественными?
• Содержит ли программа А заимствования из исходного кода программы Б?
• Использует ли программа нелицензионные компоненты или библиотеки?

Связанные с безопасностью:

• Содержит ли программа вредоносные функции (вирус, троян, шпионский модуль)?
• Имеются ли в программе уязвимости, которые могут быть использованы для несанкционированного доступа?
• Была ли программа взломана или модифицирована после её создания?

Оценочные:

• Какова стоимость разработки (восстановления) программы?
• Каков размер материального ущерба, причинённого в результате некорректной работы программы?

5. 2.  Заключение эксперта и его оценка судом

Результатом экспертного исследования является заключение эксперта — письменный документ, отвечающий требованиям процессуального законодательства.  Суд оценивает заключение по внутреннему убеждению, основанному на всестороннем, полном и объективном рассмотрении всех доказательств в их совокупности.  При этом проверяются:

• Соблюдение прав сторон при назначении экспертизы.
• Компетентность и независимость эксперта.
• Научная обоснованность и полнота применённых методик.
• Логичность, ясность и непротиворечивость выводов.

Эксперт должен быть готов защищать свои выводы в судебном заседании, что является важным аспектом профессиональной деятельности, на который обращает внимание Центр инженерных экспертиз, заботясь о своей репутации.

5. 3.  Рецензирование экспертных заключений

Важной процессуальной гарантией является возможность рецензирования — критической оценки заключения другой экспертной организацией.  Рецензия позволяет выявить методологические ошибки, необъективность или неполноту первичного исследования и может стать основанием для назначения повторной или дополнительной экспертизы.  Данная услуга является одним из важнейших направлений деятельности современных экспертных центров.

6.  Заключение

Экспертиза компьютерной программы представляет собой сложный, многоаспектный вид исследовательской деятельности, интегрирующий достижения компьютерных наук, криминалистики и права.  Её проведение требует от эксперта не только глубоких специальных знаний в области программирования, архитектуры ПО и информационной безопасности, но и понимания процессуальных норм и требований к доказательствам.

Методология экспертизы, основанная на сочетании статического, динамического и сравнительного анализа, постоянно развивается, адаптируясь к появлению новых языков программирования, парадигм разработки (таких как облачные вычисления и микросервисы) и видов киберугроз.  Результаты экспертизы играют всё более значимую роль в разрешении широкого спектра судебных споров — от защиты интеллектуальной собственности до расследования киберпреступлений.

Развитие данного направления экспертной деятельности напрямую связано с укреплением методологической базы, стандартизацией подходов, повышением квалификации экспертов и обеспечением их независимости, что в полной мере соответствует задачам, стоящим перед современными экспертными учреждениями.

Для проведения профессиональной судебной или независимой экспертизы компьютерной программы, а также в рамках комплексной компьютерно-технической экспертизы, вы можете обратиться в Центр инженерных экспертиз.  Наши специалисты обладают необходимым опытом и знаниями для решения самых сложных экспертных задач.  Подробнее об услугах центра:  https: //kompexp. ru/