Rozmawiamy ze ZBIGNIEWEM ENGIELEM z firmy Mediarecovery - Elektroniczny materiał dowodowy jest w Polsce ciągle nowością. Tymczasem na zachodzie Europy cyfrowe dowody czyjejś winy to codzienność zarówno na salach sądowych, jak i w wewnętrznych śledztwach przeprowadzanych w korporacjach.
W czasach wzrastającej przestępczości komputerowej znajomość zasad postępowania z elektronicznym materiałem dowodowym jest kluczem do rozwiązania wielu śledztw. Co więc muszą wiedzieć przedstawiciele organów ścigania?
- W dzisiejszym świecie ponad 90 proc. informacji powstaje elektronicznie, a większość naszych działań ma swój wymiar cyfrowy. Mając tę świadomość, łatwiej jest zrozumieć cel poszukiwania śladów w gąszczu zer i jedynek komputerowych dysków. Prowadzenie cyfrowych dochodzeń, oprócz właściwego sprzętu i oprogramowania, wymaga odpowiedniego poziomu wiedzy. Z jednej strony konieczne jest rozumienie, gdzie i jak przechowywane są informacje na dysku twardym, a z drugiej niezbędna jest wiedza, jak postępować z tą informacją. Elektroniczny materiał dowodowy jest bowiem w swej naturze niezwykle podatny na manipulacje. Bardzo łatwo nawet w nieświadomy sposób obniżyć jego wartość. Stąd też trzeba najpierw zrozumieć charakterystykę dowodu elektronicznego - autentyczność i wierność, łańcuch dowodowy i sumę kontrolną. Za tymi hasłami kryją się całe pokłady wiedzy. Od zasad, które poprzez dokumentację materialną gwarantują przejrzystość zabezpieczenia, aż po metodologię badania i prezentacji dowodu, tak aby zawsze istniała pewność, że dowód nie został zmieniony.
Wiedza z zakresu informatyki śledczej pomaga w panowaniu nad incydentami czy gromadzeniu dowodów w sposób zgodny z jej zasadami. Niestety, nie jest to mocna strona polskich śledczych czy większości pracowników działów bezpieczeństwa firm.
- Najlepszym sposobem na zmianę tego stanu jest zdobycie kompleksowej wiedzy poprzez uczestnictwo w specjalistycznych szkoleniach w zakresu informatyki śledczej. Są one niezastąpione, gdyż do tej pory na rynku nie pojawiło się zbyt wiele publikacji na ten temat. Zresztą, pozwalają one tylko na przyswojenie teorii, a nie na zdobycie praktycznych umiejętności. Oczywiście, pomimo iż trzon tego rodzaju szkoleń jest jednolity, to w świecie cywilnym i organów ścigania potrzebna jest nieco inna wiedza. Stąd konieczne jest profilowanie szkoleń do ich potrzeb.
Na czym polega śledztwo elektroniczne?
- Metodologia cyfrowego śledztwa jest ważnym punktem nauki. Trzeba wiedzieć, jak się do tego wszystkiego zabrać i od czego zacząć. Celem śledztwa elektronicznego jest odnalezienie i udokumentowanie czytelnych i obiektywnych dowodów incydentu, wskazania sprawcy lub luki, dzięki której było możliwe jego wystąpienie. Istotne są również wnioski pozwalające na zapobieganie zdarzeniom w przyszłości.
Osobno należy traktować zabezpieczenie dowodu elektronicznego. Moment zabezpieczenia elektronicznego materiału dowodowego jest najbardziej krytycznym elementem każdego śledztwa. Krytyczność zabezpieczania opiera się bowiem na problemie uwierzytelnienia dowodów. Dowód uwierzytelniony to taki, co do którego nie ma wątpliwości, że został uzyskany z danego komputera w określonym miejscu i czasie. Protokół zabezpieczenia jest pierwszym ogniwem łańcucha dowodowego. Poza tym śledczy muszą wiedzieć, co i jak zabezpieczać. Dane, sprzęt? Czy można wyłączyć pracujący komputer? Osoby prowadzące cyfrowe dochodzenie nie mogą pozwolić sobie na błąd, gdyż może to zakończyć się kompromitacją dowodów.
Oprócz aspektów prawnych czy zasad i metodologii postępowania równie ważne są aspekty techniczne. Informatyka śledcza jest bowiem połączeniem prawa i technologii.
- Każdy, kto przystępuje do śledztwa elektronicznego, powinien posiadać chociażby podstawową wiedzę na temat budowy nośników danych czy organizacji danych. Na przykład wiedzieć, w jaki sposób zapisywana jest informacja na cyfrowym nośniku danych. Wbrew ogólnym przekonaniom nie jest to pojedynczy plik zapisany gdzieś na dysku, lecz złożone z wielu składowych dane i metadane, mogące być rozrzucone we fragmentach po całej powierzchni nośnika. Wiedza o zapisie informacji jest niezbędna w sytuacji, kiedy śledczy stają przed zadaniem odzyskania danych. Sprawnie poruszając się w tematach fizycznej i logicznej organizacji danych na nośniku, możemy niejako cofnąć się w czasie i odzyskać dawno zapomniane informacje.