Firma X działająca w branży spożywczej kilka miesięcy temu zauważyła dziwną zbieżność. Nagle zaczęła przegrywać przetargi, a choć były one organizowane w różnych częściach kraju, zawsze wygrywał jeden konkurent, którego oferty tylko nieznacznie różniły się od propozycji firmy X.
Podejrzenie: cyberszpiegostwo.
Decyzja: firma wynajmuje informatyków śledczych. Ci przez kilka tygodni w ukryciu przetrząsają dane z firmowego sprzętu.
Misja: ustalić, czy winę za wyciek dokumentacji ponosi technologia (konkurencja zdalnie włamała się do systemu), czy czynnik ludzki (w firmie jest kret, który donosi).
Informatycy śledczy z prywatnego laboratorium, do których udało się przedsiebiorstwo X, przejrzeli zawartość komputerów pracowników, i to nie tylko zapisane na nich pliki, ale także zachowane w pamięci przeglądarek strony WWW, na które wchodzili. Udało się im nawet zapoznać z zawartością tych stron. – I tak po nitce do kłębka doszliśmy do winnego. Nielojalny pracownik wykazał dużo sprytu. Przekazywał konkurencji informacje o kwotach ofert przetargowych za pomocą uruchamianej w przeglądarce internetowej gry online OGame. Jest w niej opcja wysyłania wiadomości do innych graczy i to właśnie w ten sposób wyciekały z firmy informacje – opowiada „DGP” Zbigniew Engiel z firmy Mediarecovery, która przeprowadziła śledztwo.
Podobnie po cichu, w tajemnicy zarówno przed innymi firmami, jak i swoimi pracownikami, coraz więcej przedsiębiorstw sprawdza, czy przypadkiem nie zalągł się u nich podobny, szpiegujący dla konkurencji kret lub czy ich komputery nie zostały zainfekowane szpiegowskim oprogramowaniem. – Straty, jakie można ponieść w wyniku cyberszpiegostwa, są ogromne. To nie tylko przegrane konkursy i przetargi, wyprowadzone z firmy spore sumy, ale także utracone zaufanie kontrahentów czy dobre imię w branży – tłumaczy Tadeusz Koczkowski, prezes Krajowego Stowarzyszenia Ochrony Informacji Niejawnych.
Tak oto powstał nowy zawód: informatycy do wynajęcia.
Na celowniku e-detektywów równie dobrze może się znaleźć szeregowy pracownik, jak i dyrektor czy prezes. Bo i kłopoty może mieć zarówno duża międzynarodowa korporacja, jak i mały rodzinny biznes. Tam gdzie pieniądze, tam i przestępstwa, a dziś także i cyberprzestępstwa. – Trudno sobie wyobrazić firmę, w której nie wykorzystuje się dziś komputerów i internetu – mówi Tomasz Dyrda z Ernst & Young, który także specjalizuje się w e-dochodzeniach.

Rachunek za porno

Na rynku komercyjnym computer forensics, czyli informatyka śledcza, pojawiła się ledwie kilka lat temu. Do niedawna rozwijała się przede wszystkim w Stanach Zjednoczonych jako narzędzie służące służbom specjalnym. Kilka głośnych spraw z wyciekami danych z przedsiębiorstw zwróciło jednak na nią uwagę biznesmenów. Tak więc dziś regularne wynajmowanie ekspertów od informatyki śledczej jest w USA czynnością równie zwyczajną, jak regularne czyszczenie klimatyzacji w biurach. Przedsiębiorcy wiedzą, że w ramach zapewnienia bezpieczeństwa lepiej zainwestować w e-śledczych, którzy po cichu sprawdzą i wykryją źródło przecieków, niż później żałować.
– Dobrym i coraz szerzej stosowanym zwyczajem jest to, że co ważniejsi menedżerowie zgadzają się po zakończeniu swojej pracy na kilka lat zdeponować odpowiednio zabezpieczony sprzęt, z którego korzystali, by w przypadku jakichś problemów śledczy mogli go dokładnie sprawdzić – opowiada Sebastian Małycha, prezes Mediarecovery.
W Polsce sztukę computer forensics po raz pierwszy wystawiono na widok publiczny po wybuchu tzw. afery Rywina. Aby ustalić, kiedy i w jaki sposób pojawiały się zapisy w ustawie medialnej, biegli poszukiwali właśnie śladów elektronicznych: skasowanej korespondencji e-mailowej Aleksandy Jakubowskiej, poprzednich wersji dokumentu itp. Prokuratura robiła to własnymi siłami. Równolegle jednak działali prywatni specjaliści od odzysku danych, którzy mieli w mediach swoje pięć minut, komentując, co i jak można wydobyć z komputerów i internetu. Śledztwo przyniosło spektakularne wyniki i pokazało, co potrafi informatyka śledcza.
Kolejny raz udowodniono, jak wiele można odnaleźć w sprzęcie, po katastrofie hali MTK w Katowicach w 2006 roku. Dach budynku nie wytrzymał ciężaru śniegu i lodu – zginęło 65 osób. Szybko pojawiło się podejrzenie, że istotne dowody dotyczące tego tragicznego wydarzenia są ukryte na skasowanych dyskach szefów MTK. Sprzęt trafił do laboratorium śledczego, gdzie odtworzono rozmowy prowadzone na Gadu-Gadu. Z ich treści wynikło, że przed wypadkiem kierownictwo MTK zdawało sobie sprawę z zagrożenia, jakie niesie zaniechanie odśnieżenia dachu. Mocny dowód, za którym poszło oskarżenie o umyślne doprowadzenie do katastrofy i potwierdzenie: cyfrowe ślady tak łatwo nie giną i mogą pogrąźyć tak samo jak i te materialne.
Cyfrowe śledztwa zaczęły więc interesować nie tylko policję, ale także przedsiębiorców. Pierwsze sprawy były banalne. A to kilkunastoosobowa hurtownia dostała fakturę na kilkanaście tysięcy złotych za telefon. Szef zatrudnił śledczych, by sprawdzili, co się dzieje. Okazało się, że któryś z pracowników zwiedzał witryny porno i złapał na komputer tzw. dialera, czyli program, który nabił ogromny rachunek telefoniczny. Choć mężczyzna wyczyścił w przeglądarce historię odwiedzanych stron, na dysku zostały ślady tego, co robił na firmowym sprzęcie.
Jeszcze łatwiejsza była sprawa, w której spryciarz postanowił zadziałać metodą „na ochroniarza”. Tak w 2008 roku w urzędzie miasta w Siemianowicach Śląskich ochroniarz podczas nocnej zmiany wyniósł komputer z wydziału komunikacji i więcej się nie pojawił. Pal licho sprzęt, więcej warte były zawarte na nim dane. Szczęśliwie komputery urzędników były jedynie terminalami, a wszystkie dane przechowywane były w dobrze strzeżonej serwerowni. Informatycy śledczy tylko wykonali ich kopie i wprowadzili nowe zabezpieczenia.



CSI: Katowice

Chętnych do skorzystania z takich usług zaczęło pojawiać się więcej. – To, co niedawno wydawało się być fikcją z filmów czy książek szpiegowskich, dziś jest rzeczywistością dla coraz większej liczby przedsiębiorstw – przyznaje informatyk pracujący w jednym z prywatnych laboratoriów. – Dowody kryją się tam, gdzie mało kto się ich spodziewa. Ludzie patrzą zaskoczeni, co wydostajemy z ich komputerów. Zapis korespondencji na Gadu-Gadu czy Skypie? Skąd to wzięliście? Przecież to wszystko już dawno było skasowane – śmieje się Sebastian Małycha.
Dziś na polskim rynku komercyjnym, czyli poza laboratoriami policyjnymi, liczy się kilka firm. Dwa największe laboratoria specjalizujące się w computer forensics, czyli Mediarecovery i Kroll Ontruck, działają w Katowicach, które wyrastają na stolicę e-śledczych. Mediarecovery zaczynało jeszcze w latach 90. od składania komputerów, by w 2005 roku skupić się na śledzeniu cyfrowych dowodów. W 2005 roku firma miała 272 zlecenia, w ubiegłym już ponad trzy razy więcej – 856. W tym roku wynik zapewne będzie jeszcze lepszy, bo tylko do końca sierpnia było ich blisko 600.
Kroll Ontruck to firma, która jest częścią światowego koncernu, zatrudnia w Polsce około 30 osób i mówi o sobie „elektroniczni detektywi”. W Katowicach od dwóch lat działa też Instytut Informatyki Śledczej – stowarzyszenie naukowców, prokuratorów, policjantów i informatyków specjalizujących się w zwalczaniu cyberprzestępczości. Wciąż większość zleceń prywatne laboratoria otrzymują od policji, coraz częściej jednak zjawiają się także szukający pomocy przedsiębiorcy.
W samych zaś zleceniach dla przedsiębiorców specjalizują się specjalne komórki ds. zarządzania ryzykiem nadużyć w polskich oddziałach Ernst & Young oraz PricewaterhouseCoopers. Jak się okazuje, firmy te kojarzone z audytami księgowymi równie skutecznie przetrząsają komputery. Obie przeprowadziły w ciągu ostatnich pięciu lat, odkąd działają na polskim rynku, po kilkaset takich śledztw.
Jeżeli jednak komuś się wydaje, że praca e-detektywa przypomina tę z sensacyjnych seriali o zagadkach kryminalnych rozwiązywanych przez naukowców, może się głęboko rozczarować. – Żmudne, długie dni lub czasem tygodnie spędzane na rozpracowywaniu technologicznych szczegółów. Niewiele tu spektakularnych akcji. Choć owszem zdarzało mi się być przywożonym do badanych firm po kryjomu, w nocy, na tylnym siedzeniu samochodu, tak by pracownicy niczego się nie domyślili – przyznaje Tomasz Dyrda z Ernst & Young.

Zaufana księgowa

W Polsce wielu menedżerom szpiegostwo gospodarcze kojarzy się przede wszystkim z misterną intrygą opisywaną w sensacyjnych bestsellerach. I choć jak najbardziej prawdziwy przypadek sprzątaczki, która pod nosem informatyków w pewnej sporej firmie informatycznej wyprowadzała dane z komputera samego prezesa, jest powszechnie znany w środowisku biznesmenów, to traktowany jest raczej jako zabawna anegdotka. Optymizm rodzimej kadry zarządzającej przez lata wynikał w dużej mierze z tego, że o szpiegostwie w firmach, zwłaszcza w Polsce, słyszało się sporadycznie. Do wyjątków należały spółki takie jak poznański zakład Volkswagena. Jego rzecznik kilka lat temu otwarcie przyznał, że jednym z prawdopodobnych powodów włamania do tej fabryki w listopadzie 2005 roku była próba przejęcia dokumentacji najnowszego modelu Volkswagena – Caddy Maxi.
Normą jednak jest skrzętne ukrywanie najmniejszych nawet podejrzeń, że firma nabawiła się tego wstydliwego problemu. – Zazwyczaj nie ma czym się chwalić. Tak samo jest np. z firmą, którą właśnie się zajmujemy. Mają spory problem z księgową: osoba zaufana, pracująca od kilkunastu lat, wyprowadziła kilka milionów złotych i w efekcie naraziła przedsiębiorstwo na straty kilka razy większe. Gdyby jeszcze wyszło na jaw, jaka to firma, byliby całkiem pogrzebani w środowisku – opowiada Tomasz Dyrda. I dlatego listy klientów elektronicznych detektywów są utajnione. Pierwsze co zainteresowani e-śledztwem przedsiębiorcy robią, to podpisywanie z informatykami umowy zapewniającej im pełną ochronę przed wypłynięciem informacji.
Czasem przedsiębiorcy nie zgłaszają nawet tych przestępstw na policję. – To najczęściej duże firmy, np. żaden bank się do tego nie przyzna – opowiada nam informatyk, który przeprowadzał śledztwa w kilkunastu korporacjach. – Momentalnie informacja o aferze wyciekłaby do mediów i klienci by mu oszaleli ze strachu – dodaje.
Nie oznacza to jednak, że problemu nie ma. Kilka miesięcy temu Mediarecovery zapytała kilkuset specjalistów działów IT pracujących w polskich przedsiębiorstwach o to, czy natknęli się na próby ataków na swoje firmy. Przytaknęło ponad dwie trzecie z nich, jedna trzecia jako źródło problemów wskazała swoich pracowników, Jednak to także dzięki tym pracownikom najczęściej dochodzi do ujawnienia nieprawidłowości. Badania przeprowadzone w polskich firmach przez Ernst & Young wykazały, że z zasady co piąty zatrudniony, gdy wie o tym, że dzieje się coś niedobrego, to prędzej czy później decyduje się o tym donieść. Mimo to eksperci oceniają, że tak naprawdę przyzwoicie zabezpieczone przed cyberkłopotami jest jedno na dziesięć polskich przedsiębiorstw.
I dlatego wyjątkowa była przezorność pewnej firmy farmaceutycznej, w której po tym jak opracowywano nowatorską strategię pozyskania nowych klientów w przychodniach i prywatnych gabinetach lekarskich, zarząd postanowił prewencyjnie sprawdzić, czy informacje z tym związane „nie stanowią punktu zainteresowania osób niepowołanych”. Okazało się, że niestety są. Dwie zatrudnione w firmie osoby prowadziły dialog w tej sprawie za pomocą jednego z komunikatorów internetowych. Nielojalni pracownicy zabezpieczyli się, wyłączając w opcjach programu możliwość zapisywania rozmów do archiwum. Jednak nawet taki wybieg nie był przeszkodą dla elektronicznych śledczych. Odkryli, że rozmowy na temat zdrady były już na dość zaawansowanym etapie, choć nie ustalono jeszcze wysokości stawki, to znaleziono kupca.



E-mail prawdę powie

Pierwsze, co sprawdzają e-śledczy, to poczta. E-maile i dokumenty elektroniczne stały się tak popularne, że w obecnej chwili prawie cała korespondencja i pisma powstają przy wykorzystaniu komputera. Pracownicy wysyłają i otrzymują nawet po kilkaset e-maili dziennie, co powoduje, że skrzynki e-mailowe zawierają czasem nawet po kilkadziesiąt tysięcy listów. Im bardziej sprawa zawiła, tym głębiej sięga się w sprawdzaniu sprzętu i tym więcej kosztuje śledztwo. Regułą jest oczywiście sprawdzanie, co próbowano ze sprzętu usunąć, bo im bardziej ktoś stara się zatrzeć ślady, tym bardziej prawdopodobne, że ma coś na sumieniu.
Nie ma stałej stawki za informatyczne śledztwa. Wszystko jest uzależnione nie tylko od ilości sprzętu do sprawdzenia, poziomu skomplikowania zadania, ale także od czasu, jaki informatycy dostają na badanie.
– W skrajnych przypadkach, gdy trzeba robić żmudne badania dysku pod mikroskopem elektronowym, koszty dochodzą do astronomicznych poziomów, akceptowanych tylko przy bardzo ważnych operacjach – mówi Tomasz Dyrda. Te astronomiczne poziomy to nawet kilkanaście milionów złotych.
Sporo. Jednak mylą się ci, którzy sądzą, że jakaś najnowocześniejsza nawet technologia zapewni ich firmie bezpieczeństwo. Gdzieś zawsze jest człowiek, który siedzi przed monitorem i ma dostęp do systemu. Informatycy mogą sprawdzić i skontrolować sprzęt, on pozostanie nieprzewidywalny.
Najsłynniejsze cyfrowe dochodzenia
Microsoft vs. Netscape
W 1997 r. przeciw Microsoftowi toczyło się śledztwo w sprawie działań monopolistycznych: firma zintegrowała przegladarkę Internet Explorer z system operacyjnym Windows. Dzieki temu posunięciu koncern Billa Gatesa – który zignorował rozwój internetu i początkowo zrezygnował z opracowania własnej przegladarki – bardzo szybko odrobił straty do konkurencji z Netscape. Sądowym dowodem była wiadomość pocztowa odnaleziona przez specjalistów od informatyki śledczej w sieci Microsoftu. Treść e-maila jasno wskazywała na to, że uczynienie z Internet Explorera integralnej części Windowsa nie było wynikiem ograniczeń technologicznych, ale świadomą decyzją zarządu mającą na celu zdobycie przewagi nad konkurencją
Estrada vs. MasterCard
Fausto Estrada w marcu 2001 roku został aresztowany pod zarzutem kradzieży tajnych informacji z siedziby MasterCard International. Estrada był kontraktowym pracownikiem serwisu cateringowego w głównej siedzibie MC w Nowym Jorku. W lutym 2001 roku przy użyciu nicku Cagliostro zaproponował rywalowi MasterCard, firmie Visa International, nie tylko przekazanie supertajnych plików, lecz także nagrywanie spotkań kierownictwa MC najwyższego szczebla. Wśród informacji, jakie Estrada zamierzał sprzedać Visie, były m.in. szczegóły szacowanej na ponad miliard dolarów propozycji współpracy między MasterCardem a jednym z dużych amerykańskich przedsiębiorstw z branży rozrywkowej. MC wynajęło informatyków śledczych: Fausto Estrady nie uchronił nick, rozgryziono jego tożsamość i szpieg, który nie zdołał jeszcze przekazać żadnej tajemnicy, szybko trafił przed oblicze wymiaru sprawiedliwości.
Synopsys vs. Nassda
W 2001 r. amerykańska firma Synopsys, specjalizująca się w tworzeniu zaawansowanego oprogramowania dla projektowania układów scalonych, pozwała konkurencyjną firmę Nassda. Założyli ją byli pracownicy Synopsysu. Jeden z nich przed odejściem miał nie tylko zabrać ze sobą kod źródłowy jednego z programów Synopsysu, lecz także wykasować go z firmowej bazy danych. Afera wyszła na jaw po dwóch latach, kiedy przedstawiciele Synopsysu zjawili się u konkurentów z sądowym nakazem rewizji. Po kontroli sieci komputerowej stwierdzono, że 60 tys. linijek kodu źródłowego programu oferowanego przez Nassdę jest identycznych z kodem źródłowym stworzonym wcześniej przez Synopsys. W wyniku wyroku sadowego Synopsys nie tylko przejął Nassdę za 192 mln dol., ale dodatkowo wszyscy założyciele Nassdy pracujący wcześniej w Synopsysie musieli wypłacić odszkodowanie w wysokości w sumie 61 mln dol.