Firma X działająca w branży spożywczej kilka miesięcy temu zauważyła dziwną zbieżność. Nagle zaczęła przegrywać przetargi, a choć były one organizowane w różnych częściach kraju, zawsze wygrywał jeden konkurent, którego oferty tylko nieznacznie różniły się od propozycji firmy X.

Podejrzenie: cyberszpiegostwo.

Decyzja: firma wynajmuje informatyków śledczych. Ci przez kilka tygodni w ukryciu przetrząsają dane z firmowego sprzętu.

Misja: ustalić, czy winę za wyciek dokumentacji ponosi technologia (konkurencja zdalnie włamała się do systemu), czy czynnik ludzki (w firmie jest kret, który donosi).

Informatycy śledczy z prywatnego laboratorium, do których udało się przedsiebiorstwo X, przejrzeli zawartość komputerów pracowników, i to nie tylko zapisane na nich pliki, ale także zachowane w pamięci przeglądarek strony WWW, na które wchodzili. Udało się im nawet zapoznać z zawartością tych stron. – I tak po nitce do kłębka doszliśmy do winnego. Nielojalny pracownik wykazał dużo sprytu. Przekazywał konkurencji informacje o kwotach ofert przetargowych za pomocą uruchamianej w przeglądarce internetowej gry online OGame. Jest w niej opcja wysyłania wiadomości do innych graczy i to właśnie w ten sposób wyciekały z firmy informacje – opowiada „DGP” Zbigniew Engiel z firmy Mediarecovery, która przeprowadziła śledztwo.

Podobnie po cichu, w tajemnicy zarówno przed innymi firmami, jak i swoimi pracownikami, coraz więcej przedsiębiorstw sprawdza, czy przypadkiem nie zalągł się u nich podobny, szpiegujący dla konkurencji kret lub czy ich komputery nie zostały zainfekowane szpiegowskim oprogramowaniem. – Straty, jakie można ponieść w wyniku cyberszpiegostwa, są ogromne. To nie tylko przegrane konkursy i przetargi, wyprowadzone z firmy spore sumy, ale także utracone zaufanie kontrahentów czy dobre imię w branży – tłumaczy Tadeusz Koczkowski, prezes Krajowego Stowarzyszenia Ochrony Informacji Niejawnych.

Tak oto powstał nowy zawód: informatycy do wynajęcia.

Na celowniku e-detektywów równie dobrze może się znaleźć szeregowy pracownik, jak i dyrektor czy prezes. Bo i kłopoty może mieć zarówno duża międzynarodowa korporacja, jak i mały rodzinny biznes. Tam gdzie pieniądze, tam i przestępstwa, a dziś także i cyberprzestępstwa. – Trudno sobie wyobrazić firmę, w której nie wykorzystuje się dziś komputerów i internetu – mówi Tomasz Dyrda z Ernst & Young, który także specjalizuje się w e-dochodzeniach.

Rachunek za porno

Na rynku komercyjnym computer forensics, czyli informatyka śledcza, pojawiła się ledwie kilka lat temu. Do niedawna rozwijała się przede wszystkim w Stanach Zjednoczonych jako narzędzie służące służbom specjalnym. Kilka głośnych spraw z wyciekami danych z przedsiębiorstw zwróciło jednak na nią uwagę biznesmenów. Tak więc dziś regularne wynajmowanie ekspertów od informatyki śledczej jest w USA czynnością równie zwyczajną, jak regularne czyszczenie klimatyzacji w biurach. Przedsiębiorcy wiedzą, że w ramach zapewnienia bezpieczeństwa lepiej zainwestować w e-śledczych, którzy po cichu sprawdzą i wykryją źródło przecieków, niż później żałować.

– Dobrym i coraz szerzej stosowanym zwyczajem jest to, że co ważniejsi menedżerowie zgadzają się po zakończeniu swojej pracy na kilka lat zdeponować odpowiednio zabezpieczony sprzęt, z którego korzystali, by w przypadku jakichś problemów śledczy mogli go dokładnie sprawdzić – opowiada Sebastian Małycha, prezes Mediarecovery.

W Polsce sztukę computer forensics po raz pierwszy wystawiono na widok publiczny po wybuchu tzw. afery Rywina. Aby ustalić, kiedy i w jaki sposób pojawiały się zapisy w ustawie medialnej, biegli poszukiwali właśnie śladów elektronicznych: skasowanej korespondencji e-mailowej Aleksandy Jakubowskiej, poprzednich wersji dokumentu itp. Prokuratura robiła to własnymi siłami. Równolegle jednak działali prywatni specjaliści od odzysku danych, którzy mieli w mediach swoje pięć minut, komentując, co i jak można wydobyć z komputerów i internetu. Śledztwo przyniosło spektakularne wyniki i pokazało, co potrafi informatyka śledcza.

Kolejny raz udowodniono, jak wiele można odnaleźć w sprzęcie, po katastrofie hali MTK w Katowicach w 2006 roku. Dach budynku nie wytrzymał ciężaru śniegu i lodu – zginęło 65 osób. Szybko pojawiło się podejrzenie, że istotne dowody dotyczące tego tragicznego wydarzenia są ukryte na skasowanych dyskach szefów MTK. Sprzęt trafił do laboratorium śledczego, gdzie odtworzono rozmowy prowadzone na Gadu-Gadu. Z ich treści wynikło, że przed wypadkiem kierownictwo MTK zdawało sobie sprawę z zagrożenia, jakie niesie zaniechanie odśnieżenia dachu. Mocny dowód, za którym poszło oskarżenie o umyślne doprowadzenie do katastrofy i potwierdzenie: cyfrowe ślady tak łatwo nie giną i mogą pogrąźyć tak samo jak i te materialne.

Cyfrowe śledztwa zaczęły więc interesować nie tylko policję, ale także przedsiębiorców. Pierwsze sprawy były banalne. A to kilkunastoosobowa hurtownia dostała fakturę na kilkanaście tysięcy złotych za telefon. Szef zatrudnił śledczych, by sprawdzili, co się dzieje. Okazało się, że któryś z pracowników zwiedzał witryny porno i złapał na komputer tzw. dialera, czyli program, który nabił ogromny rachunek telefoniczny. Choć mężczyzna wyczyścił w przeglądarce historię odwiedzanych stron, na dysku zostały ślady tego, co robił na firmowym sprzęcie.

Jeszcze łatwiejsza była sprawa, w której spryciarz postanowił zadziałać metodą „na ochroniarza”. Tak w 2008 roku w urzędzie miasta w Siemianowicach Śląskich ochroniarz podczas nocnej zmiany wyniósł komputer z wydziału komunikacji i więcej się nie pojawił. Pal licho sprzęt, więcej warte były zawarte na nim dane. Szczęśliwie komputery urzędników były jedynie terminalami, a wszystkie dane przechowywane były w dobrze strzeżonej serwerowni. Informatycy śledczy tylko wykonali ich kopie i wprowadzili nowe zabezpieczenia.