Ujawnianie tajemnicy firmowej, szpiegostwo gospodarcze, fabrykowanie umów. Jeszcze przed kilkoma laty dowody w tego typu sprawach miały wyłącznie formę papierowych akt.
Dziś jednak, kiedy zdecydowana większość dokumentów ma formę plików komputerowych, coraz częściej dowodami w sprawach przestępstw gospodarczych są e-maile. O tym, jak ważne są tego typu dowody i że mogą być obecnie respektowane na równi z tymi wpisanymi do akt, przekonują informatycy śledczy, którzy ostatnio w specjalnym laboratorium wykazali manipulację korespondencją w sprawie jednego z największych przejęć w polskiej branży IT >patrz ramka.
Jak to zrobili i jak firma powinna zabezpieczyć dowody elektroniczne, aby później przedstawić je w sądzie i wygrać sprawę?
Sfałszowana korespondencja
Opisany obok przykład firmy Komputronik SA pokazuje, jak prawidłowo powinna działać firma w przypadku batalii sądowej, gdy ma podejrzenie, że prezentowane dowody to sfałszowana korespondencja e-mailowa.
W takiej sytuacji przede wszystkim nie powinna na własną rękę próbować zabezpieczyć znajdujących się na komputerze informacji. Odnosi się to także do innych dokumentów znajdujących się na służbowych komputerach, takich jak pliki programów biurowych czy historia korzystania ze stron internetowych.
Nie otwierać plików
Wskutek samodzielnych prób zapisania danych bądź przeniesienia ich na inne komputery może dojść do pozbawienia ich wartości dowodowej, a tym samym wyeliminowania możliwości przedstawienia ich przed sądem.
Mając więc podejrzenie nieuczciwych działań np. jednego z pracowników, absolutnie nie wolno otwierać plików i modyfikować zapisanych w nich danych. Firma powinna się zwrócić do specjalistów, którzy zajmą się ich profesjonalnym zabezpieczeniem.
Właściwa polityka bezpieczeństwa
W momencie wysłania e-mail wędruje od serwera pocztowego nadawcy do serwera pocztowego odbiorcy i finalnie wpada do skrzynki odbiorczej adresata. Wiadomość wysłana i wiadomość odebrana powinna być identyczna. Dzięki informatyce śledczej istnieje możliwość weryfikacji wielu danych dotyczących wysyłki e-maila, np. znaczników czasowych, tytułu czy też treści.
Wiele firm, dzięki dobrze zdefiniowanej polityce bezpieczeństwa, przechowuje wiadomości wysyłane przez pracowników, po czym zgodnie z procedurami trafiają one do kopii zapasowych. Tak też było w przypadku firmy Komputronik SA, która dzięki wdrożeniu odpowiednich procedur związanych z ochroną danych była w stanie dostarczyć prokuratorowi dowody, na podstawie których będzie mógł udowodnić fałszerstwo i żądać ukarania winnych.
Czego potrzebują informatycy
Podstawą do przekazania przez firmę sprawy informatykom śledczym jest zawsze odpowiednie funkcjonowanie całej infrastruktury IT archiwizującej dane we właściwy sposób. Bez możliwości przekazania informatykom śledczym kopii backupowych wykrycie fałszerstwa korespondencji e-mailowej byłoby znacznie trudniejsze.
Aby usprawnić pracę informatyków śledczych i wzmocnić szanse na otrzymanie raportu w maksymalnie krótkim terminie, istotne jest, by dana firma podała wiele najważniejszych kryteriów, według których informatycy śledczy będą prowadzili ekspertyzę.
Są to:
• dokładne zdefiniowanie celu analizy sfałszowanych danych,
• czas, w jakim nastąpiły podejrzewane przez klienta nieuczciwe działania,
• słowa kluczowe dotyczące tych działań,
• osoby, które według firmy mogły być zaangażowane w nieuczciwe działania.
Wskazanie tych informacji jest tym bardziej istotne, iż bez nich informatycy śledczy bardzo często skazani są na przeszukiwanie całych archiwów bądź baz danych klienta, a te nierzadko zawierają setki milionów plików, których analiza może zająć bardzo dużo czasu.
Sprawa trafia do laboratorium
Aby zebrać dowody w sprawie, która może zaszkodzić firmie (np. udowodnić winę nieuczciwego pracownika przesyłającego poufne dane konkurencji), należy przede wszystkim skontaktować się z informatykami śledczymi.
Gwarantuje to opinię bezstronnego organu, co może być kluczowym wątkiem w toczącym się śledztwie. W przypadku firmy Komputronik SA jej zarząd, podejrzewając, iż e-maile zostały sfabrykowane, skontaktował się z elektronicznymi detektywami, którzy zabezpieczyli zarchiwizowane e-maile.
Istotne w przypadku zabezpieczenia danych, zgromadzonych na dyskach komputerów i pamięciach smartfonów czy telefonów komórkowych, jest to, iż nie wystarczy zabezpieczyć samego urządzenia (czyli np. laptopa).
Tak często się zdarza, niestety, gdy firmy lub niektóre służby zabezpieczają urządzenie na własną rękę. To zabezpieczenie danych, a nie urządzenia, jest kluczowe dla powodzenia całej sprawy. Finalną częścią procesu informatyki śledczej jest wyliczenie tzw. sumy kontrolnej. Nadaje ona swoisty cyfrowy odcisk palca na zabezpieczonych informacjach. Jakakolwiek próba manipulacji zabezpieczonych danych zmieni jej wartość i tym samym wskaże na próby ingerencji.
W przypadku opublikowanej przez zarząd CCE SA korespondencji informatycy śledczy wykazali, iż sfałszowanych bądź sfabrykowanych zostało łącznie sześć e-maili świadczących o przestępstwie. Miały one pierwotnie wskazywać na to, że zarząd Komputronika SA dopuścił się nadużyć gospodarczych i rzekomo zaoferował kontrahentowi w ramach całej transakcji weksle o wartości kilku milionów złotych.
Należy wspomnieć, że w tego typu śledztwach informatycy śledczy w żaden sposób nie wydają werdyktu w sprawie. Owocem ich pracy jest zbadanie zapisów i bezstronny raport, który udziela odpowiedzi na postawione na początku analizy pytania. Odnosi się to zarówno do wiadomości e-mail, jak i innych plików zapisywanych na komputerach, tabletach czy innych nośnikach danych.
Jak to z komputronikiem było
W 2010 r. Komputronik SA, jeden z największych dystrybutorów sprzętu IT w Polsce, znalazł inwestora, który zdecydował się na przejęcie udziałów w posiadającej ogólnopolską sieć salonów sprzętu IT spółce Karen SA.
Warunki podpisanej w lipcu 2010 r. umowy miały być realizowane w kolejnych miesiącach. Jednak okazało się, że inwestor, który przekształcił dawny Karen SA w spółkę o nazwie Clean & Carbon Energy SA (CCE SA), zapowiedział wycofanie się z części podjętych zobowiązań. Zaskakującej decyzji towarzyszyła karuzela personalna na stanowisku prezesa CCE SA i członków rady nadzorczej.
Częstym zmianom personalnym towarzyszyły działania, które szkodziły dotychczasowemu pozytywnemu wizerunkowi Komputronika SA. CCE SA przekazało m.in. do krajowego rejestru długów zgłoszenie rzekomych zobowiązań poznańskiej spółki, które po szybkiej interwencji i wskazaniu faktycznego stanu prawnego zostały przez KRD wycofane.
Następnie prywatna osoba, która później została prezesem zarządu CCE SA, złożyła w sądzie wniosek o upadłość Komputronika SA na podstawie nieistniejących zobowiązań. Również to działanie nie przyniosło spodziewanych skutków, poza kosztowną dla wizerunku spółki burzą medialną.
Jednym z najbardziej spektakularnych aspektów sprawy było jednak ujawnienie przez CCE SA treści e-maili, które rzekomo miały zawierać „informacje wskazujące na działania posiadające znamiona przestępstwa".
Zawartość poczty elektronicznej miała dowodzić, że Komputronik SA zaoferował kontrahentowi w ramach całej transakcji weksle o wartości kilku milionów złotych. Ponieważ w rzeczywistości sprawa taka nigdy nie była przedmiotem umowy, zarząd spółki natychmiast zaprzeczył tym informacjom, złożył doniesienie do prokuratury i będąc pewnym tego, iż e-maile zostały sfabrykowane, zlecił ich analizę informatykom śledczym. Było to możliwe dzięki właściwej archiwizacji danych na serwerach pocztowych Komputronika SA.
Specjalistom w dziedzinie informatyki śledczej przekazano dwie uwierzytelnione taśmy z oryginalnymi backupami z 2010 r. (prawidłowe sumy kontrolne potwierdzające brak ingerencji w dane), na których znajdowała się korespondencja e-mailowa.
Dzięki działaniom informatyków śledczych i przedstawionym dowodom w postaci sfałszowanej korespondencji elektronicznej sąd w jednym z postępowań stwierdził, że Komputronik SA jest prawowitym właścicielem weksli, a tym samym ani CCE SA, ani inne spółki nie miały prawa do tych dokumentów.
Przedstawiciele CCE SA potwierdzili przed publikacją wydruków fałszywych e-maili ich zawartość u notariusza, co miało uwiarygodnić znamiona nadużycia rzekomo popełnionego przez Komputronik SA. Były to jednak jedynie wydruki spreparowanych e-maili, a notariusz został wykorzystany do poświadczenia sfałszowanych treści, co stało się dodatkowym dowodem przeciwko przedstawicielom CCE SA. Jak się okazało w toku procesu informatyki śledczej, zawartość elektroniczna oryginalnie wysłanych wiadomości była inna.
Paweł Odor główny specjalista Kroll Ontrack w Polsce
Po wykazaniu przez informatyków śledczych fałszywych e-maili sprawa firmy Komputronik SA trafiła do prokuratury. Zarówno w tym, jak i w innych tego typu przypadkach otrzymują ją biegli z zakresu informatyki śledczej reprezentujący prokuraturę.
Niestety, obecnie polskie prawo nie wyjaśnia bezpośrednio, czym jest dowód elektroniczny, wskazując jedynie, że dowodem rzeczowym może być każdy przedmiot lub nośnik informacji, a nie sama informacja.
Również niektóre służby państwowe, w tym policja i prokuratura, często zamiast zabezpieczyć informacje zawarte np. na komputerze, zabezpieczają jedynie urządzenie, na którym znajdują się dane. Mogą one wówczas stracić wartość dowodową. W każdym przypadku należy zabezpieczyć dowód, korzystając z pomocy specjalistów, gdyż to ich raport końcowy będzie mógł zadecydować o winie bądź jej braku w toczącej się sprawie.
W przypadku firmy Komputronik SA można powiedzieć o wzorowym zachowaniu w kontekście podejrzenia o sfałszowanie korespondencji e-mail.
Firma nie tylko zdecydowała się na natychmiastowy kontakt z informatykami śledczymi po ujawnieniu przez drugą stronę fałszywych e-maili, lecz także – dzięki prawidłowym procedurom archiwizacji swoich danych – była w stanie przekazać mocne dowody do prokuratury. Niestety, wiele przedsiębiorstw wciąż nie korzysta z usług informatyków śledczych, nie ma nawet świadomości ich istnienia.