Niezbite cyfrowe dowody

Klasyczne softwarowe narzędzia informatyki śledczej to np. X-Ways Forensic czy Forensic Toolkit firmy AccessData. Od kilku lat dostępne jest także narzędzie służące kontroli i analizie zdarzeń zachodzących w sieci firmowej, czyli EnCase Enterprise stworzone przez Guidance Software. Z kolei firma Micro Systemation wprowadziła na rynek program XRY służący do analiz zawartości pamięci telefonów komórkowych.

Dużo zależy też od umiejętności osoby zabezpieczającej dane. Podobnie jak w innych specjalnościach dotyczących IT, tak i tutaj dużą rolę odgrywają certyfikaty dokumentujące sprawność fachową. Jednym z największych ośrodków szkolących i certyfikujących w tym zakresie jest SANS Institute, który wydaje certyfikaty GIAC (Global Information Assurance Certificate). Możliwy jest wybór różnych specjalizacji. Podobne szkolenia oferuje CERT (Computer Emergency Response Team), przygotowując do egzaminu Certified Computer Security Incident Handler (CSIH), czyli specjalisty w zakresie rozwiązywania tzw. incydentów bezpieczeństwa komputerowego. Certified Forensics Computer Examiner (CFCE) wydawany przez IACIS jest certyfikatem popularnym w Stanach Zjednoczonych. Najtrudniejsze jest zdobycie certyfikatów typu Certified Forensic Computer Examiner. Szkolenie na ten typ certyfikatu systematyzuje wiedzę osób, które chcą zostać śledczym komputerowym. W Stanach Zjednoczonych, skąd wywodzi się certyfikat, zdobycie takiego dokumentu także ułatwia nawiązanie współpracy z organami ścigania. Według informacji z firm zajmujących się usługami computer forensic nie ma żadnego Polaka, który posiadałby obecnie certyfikat Certified Forensic Computer Examiner (CFCE). Jest za to kilka osób z liczącym się certyfikatem EnCE, wydawanym przez firmę Guidance Software. Certyfikaty EnCE są wydawane głównie śledczym, audytorom wewnętrznym, pracownikom działów bezpieczeństwa IT.

Zobacz również:

  • 9 cech wielkich liderów IT
  • CIO "bumerangi": liderzy IT awansują, powracając
  • 6 znaków ostrzegawczych, na które CIO powinni zwrócić uwagę w 2024 roku

Według samych firm zajmujących się informatyką śledczą, jeśli zostaną określone wymagania wobec biegłych z zakresu IT, co zapewne niedługo będzie musiało nastąpić, w Polsce pojawi się zapotrzebowanie na certyfikowanych śledczych.

"W sądach polskich silną pozycję zajmuje właśnie instytucja biegłego. Biegłym sądowym w zakresie informatyki może zostać prawie każdy, kto posiada odpowiednią wiedzę. Niestety, nie ma nikogo, kto mógłby tę wiedzę zweryfikować. To oznacza, że oprócz naprawdę dobrych fachowców funkcjonują w Polsce 'specjaliści' popełniający podstawowe błędy. Inna sprawa, że informatyka śledcza w wydaniu profesjonalnym nie istnieje bez połączenia trzech elementów: wiedzy, sprzętu i oprogramowania. Pojedynczego biegłego po prostu nie stać na profesjonalne stanowisko pracy - to wydatek kilkudziesięciu tysięcy złotych" - mówi Sebastian Małycha.

Jak wyciekają dane

Ekspertyzy wykonywane przez specjalistów informatyki śledczej znajdują zastosowanie we wszystkich typach dochodzeń, w których potencjalnie ważne dla śledztwa ślady można znaleźć w systemach komputerowych. Dostarczanie elektronicznych środków dowodowych wybiega przy tym znacznie poza przestępstwa komputerowe i ma zastosowanie przy każdym przestępstwie czy nadużyciu, w którym urządzenia elektroniczne miały zastosowanie jako nośnik danych. Dowody elektroniczne na polskim rynku są zwykle wykorzystywane w dość prozaicznych, z punktu widzenia praktyki kryminalnej, sprawach. Dla przykładu, w ubiegłym roku pewna śląska firma sprzedawała klientom sprzęt komputerowy z oprogramowaniem szpiegowskim. Za jego pomocą sprzedawcy wyciągali z komputerów filmy i zdjęcia i wykorzystywali je do szantażu. Dzięki dowodom zebranym z komputerów sprzedawcy stanęli przed sądem. Dwie inne ostatnio prowadzone sprawy z zakresu informatyki śledczej dotyczyły przedsiębiorstw FMCG. W pierwszym przypadku dystrybutor środków chemicznych, po kolejnym przegraniu o włos przetargu, zwrócił się o analizę komputerów pracowników. Przeszukanie komputerów działu handlowego pozwoliło wykryć zmowę kilku pracowników firmy, sprzedających informacje konkurencji. W drugim przypadku firma FMCG nabrała podejrzeń, że do konkurencji "wyciekły" materiały o kampanii promocyjnej. Zdecydowała się ona na sprawdzenie systemu informatycznego pod kątem wycieku informacji oraz nieautoryzowanego oprogramowania. Okazało się, że 7 z 8 serwerów firmy ma zainstalowane oprogramowanie umożliwiające przejmowanie informacji. Sprawą zajmuje się prokuratura, po złożeniu doniesienia przez zarząd poszkodowanego przedsiębiorstwa. Ta-kże gdyby nie dowody elektroniczne, prezesi Międzynarodowych Targów Katowickich nigdy nie stanęliby przed sądem. W katastrofie budowlanej 28 stycznia 2006 r. na terenie targów, na skutek zawalenia się dachu hali podczas wystawy gołębi pocztowych śmierć poniosło 65 osób; jedną z głównych przyczyn tej tragedii były zaniedbania zarządu. Odzyskanie i analiza korespondencji elektronicznej i danych z komunikatorów internetowych przez ekspertów z Media Recovery pozwoliły stwierdzić, że już kilka tygodni przed wypadkiem prezesi firmy mieli pełną świadomość zagrożenia katastrofą budowlaną; w budynku zaczął bowiem uginać się dach. Członkowie zarządu MTK wymieniali się nawet informacjami na temat zagrożenia sankcjami prawnymi, w przypadku gdyby jednak doszło do katastrofy budowlanej. Pozyskane dowody elektroniczne stanowią jeden z mocnych punktów aktu oskarżenia przeciwko zarządowi MTK.

Od "enter" do wyroku jest daleko

Piotr Waglowski, prawnik, autor serwisu VaGla.pl Prawo i Internet

Bez stosowania zaawansowanych technik kryptograficznych nigdy nie będzie wiadomo, czy analizowane ślady w istocie nie uległy modyfikacji. Bogactwo form komunikowania się drogą elektroniczną nie pozwala nam często ponad wszelką wątpliwość wskazać inicjatora komunikatu, a np. wiedza o numerze IP komputera nic nam nie powie o tym, kto w rzeczywistości nacisnął "enter" na klawiaturze komputera, z którego dany komunikat wysłano. Do tego trzeba dodać możliwości podszywania się pod identyfikację sprzętu, maskowania swojej tożsamości, dynamiczną konfiguracje sieci czy możliwość korzystania z sieci bezprzewodowych - a więc też wykorzystania udostępnianych zasobów. To wszystko powoduje, że mówienie o "dowodach" cyfrowych jest niezwykle trudne. W prawie karnym wszelkie wątpliwości należy rozstrzygać na korzyść oskarżonego, w prawie cywilnym to na twierdzącym spoczywa ciężar udowodnienia prawdziwości jego tez. Trudno oczekiwać od popełniającego czyn przestępny, by był tak uprzejmy i stosował bezpieczny podpis elektroniczny, jednoznacznie identyfikując się przed organami ścigania. To samo można odnieść do sfery prawa prywatnego. Być może czeka nas życie w świecie, w którym akt komunikacji z wykorzystaniem elektronicznych form takiej komunikacji wymagać będzie jednoznacznej identyfikacji.

Jednak ciemna liczba przestępstw, w których kluczową rolę odgrywają dowody elektroniczne, jest, i zapewne pozostanie, wysoka, bowiem brak świadomości istnienia usług CF powoduje, że wiele firm i osób prywatnych, które zostały poszkodowane, nie umie przedstawić dowodów w swojej sprawie lub też nie wie, że w ogóle taka możliwość istnieje. Niestety, według szacunków polskich firm specjalizujących się w usługach CF zaledwie w 9% dochodzeń w sprawach nadużyć firmy zwracają się po poradę do specjalistów wykorzystujących technologie informatyczne. Według analityków danych istotne jest, aby pracownicy firm wiedzieli, co może stać się elektronicznym dowodem i jak współpracować z pozyskującymi dane, żeby zminimalizować straty swoich organizacji. Problem ten dotyka szczególnie firm sektora MSP, które są najbardziej nieświadome zagrożeń. Tymczasem przestępczość komputerowa w małych i średnich firmach może prowadzić do zahamowania ich rozwoju, a w skrajnych przypadkach nawet do bankructwa. Trudno mówić o statystykach dotyczących wykorzystywania dowodów elektronicznych, gdyż, jak oceniają analitycy, na świecie tylko 20% spraw prowadzonych przez specjalistów z dziedziny CF kończy się na sali rozpraw. Zwykle po zdobyciu dowodu winy pracownika sprawę załatwia się bez rozgłosu. Pracodawcy i tak zyskują na tym, gdyż rozpoznanie drogi, jaką nielojalny pracownik pozyskał dane, umożliwia uszczelnienie systemu informatycznego w firmie.


TOP 200