Rozwój Internetu i nowoczesnych technologii informatycznych na przestrzeni ostatnich kilkudziesięciu lat stworzył niemal nieograniczone możliwości w zakresie komunikacji i wymiany informacji, zarówno wśród użytkowników prywatnych, jak i środowisk biznesowych.
Większość strategicznych informacji firmowych istnieje obecnie wyłącznie w formie elektronicznej. Niestety, szybkie rozprzestrzenienie się technologii cyfrowych stworzyło także okazję do wykorzystywania ich we wszelkiego rodzaju nadużyciach, związanych głównie z kradzieżą danych, ich celowym usuwaniem, fałszowaniem bądź sabotażem.
Jakie straty
Według danych gromadzonych globalnie przez Kroll Ontrack 43 procent firm na świecie padło ofiarą nadużyć związanych z wykorzystaniem informacji elektronicznej, z czego ponad połowa poniosła nieodwracalne straty finansowe. Średni koszt nadużyć w zakresie przestępczości elektronicznej na świecie wyniósł przy tym aż 1,74 miliona dolarów na firmę. Co ciekawe, co trzecie z tego typu przestępstw popełnia pracownik firmy, która ucierpiała na nielegalnych praktykach.
Cyfrowy cień
Według informatyków śledczych kluczową rolę odgrywa zjawisko tzw. cyfrowego cienia, które pozwala specjalistom na zidentyfikowanie nieuczciwych praktyk, przestępstw i nadużyć zarówno stricte cyfrowych, takich jak kradzież tożsamości, kradzież danych czy wyciek informacji, jak i tradycyjnych, w tym defraudacji środków finansowych, oszustw, a nawet kradzieży czy zabójstw. Zjawisko cyfrowego cienia towarzyszy każdemu z nas w codziennym życiu.
Z jednej strony są to informacje zapisywane podczas pracy przez urządzenia elektroniczne, z których korzystamy (związane z czasem pracy, otwieranymi aplikacjami, odwiedzanymi stronami, uruchamianymi programami czy też wysyłanymi wiadomościami).
Z drugiej strony są to informacje z różnego rodzaju monitoringów, np. w firmach, sklepach, urzędach, czy w naszych aparatach cyfrowych bądź kamerach. Ostatnim elementem cyfrowego cienia są informacje, które użytkownicy zostawiają np. na portalach społecznościowych, forach dyskusyjnych, blogach i w komentarzach sieciowych.
W ciągu ostatnich kilkunastu lat dyski twarde (i inne nośniki, takie jak pendrive’y czy telefony komórkowe) stały się pierwszoplanowymi bohaterami spraw, które przez tygodnie nie schodziły z pierwszych stron gazet.
Co to jest informatyka śledcza
Informatyka śledcza to dostarczanie elektronicznych środków dowodowych, czyli zespół działań i czynności, które polegają na zabezpieczeniu, przeszukiwaniu i wykrywaniu dowodów nadużyć i przestępstw dokonanych z użyciem komputera lub innych urządzeń elektronicznych.
Dzięki działaniom informatyków śledczych możemy więc odtworzyć kolejność zdarzeń użytkownika urządzenia elektronicznego w czasie (i odpowiedzieć na pytania: kto, co, gdzie, kiedy, jak?), działając na podstawie informacji niedostępnych dla użytkowników i administratorów systemu. W przypadkach gdy zarząd firmy bądź jej właściciel zauważają, że z dnia na dzień firma zaczyna przegrywać przetargi lub traci klientów na rzecz konkurencji, może to być sygnał, że w jej strukturach mógł mieć miejsce jakiś incydent.
Remedium na wykrycie tego, co wydarzyło się w firmie, jest kontakt z informatykami śledczymi. Ich działania pozwolą na zabezpieczenie korespondencji e-mail czy dowodów w postaci plików i oddanie sprawy do analizy zarządu, a w razie konieczności – organów śledczych. Co istotne, według statystyk tylko 20 procent tego typu spraw trafia na wokandę, pozostałe rozwiązywane są na linii pracodawca – nieuczciwy pracownik w drodze porozumienia.
Jak wygląda proces informatyki śledczej i jak może do niego przygotować się firma, która ucierpiała w wyniku nieuczciwych działań pracowników?
Wieloetapowy proces
Proces informatyki śledczej składa się z kilku etapów. Zgromadzenie dowodów najczęściej polega m.in. na zabezpieczeniu nośników danych i stworzeniu dwóch kopii binarnych dla każdego nośnika.
Jeden z wykonanych obrazów nośnika używany jest do analizy danych pod kątem poszukiwania określonych z góry kryteriów, drugi obraz nośnika zostaje zabezpieczony.
Każdy z etapów pracy musi być udokumentowany tak, aby przedstawiony materiał nie utracił wartości dowodowej, dlatego też tak istotna jest tutaj obecność profesjonalistów korzystających z najlepszych możliwych technologii. Podsumowanie i zestawienie znalezionych środków dowodowych stanowi przedstawiony klientowi i prokuraturze raport.
Odnalezione w ten sposób elektroniczne ślady mogą być wykorzystane jako materiały dowodowe w sądzie.
Zanim cała procedura zostanie rozpoczęta, najważniejszym elementem jest określenie przedmiotu badania, ustalenie szczegółów dotyczących przypadku, takich jak daty, słowa kluczowe czy też samo zaistnienie pewnego zdarzenia, np. wysyłka mejla do określonej osoby.
Zbieranie informacji
Pierwszym etapem procesu informatyki śledczej jest zabezpieczenie oryginalnych nośników i stworzenie kopii danych. Kopie te powstają bez uruchamiania urządzeń, na których mogą znajdować się potencjalne dowody. Procedura taka spowodowana jest tym, że w momencie uruchomienia systemu operacyjnego oryginalnego urządzenia zmienia się dotychczasowa zawartość danych znajdujących się na nośniku (dysku, pamięci itp.).
W czasie tego procesu stosuje się specjalne urządzenia tzw. blockery, uniemożliwiające jakikolwiek zapis na oryginalny nośnik. Każda operacja podjęta przez specjalistów informatyków śledczych musi być szczegółowo udokumentowana, a każde udostępnienie nośnika lub informacji musi być zarejestrowane. Zdarza się również, że analizie należy poddać celowo uszkodzony nośnik.
W takiej sytuacji, zanim informatycy śledczy przejdą do analizy danych znajdujących się na nośniku, muszą najpierw odzyskać utracone wcześniej informacje. Szczególnym przypadkiem może być odzyskiwanie danych z fizycznie uszkodzonego nośnika, który uległ na przykład zalaniu, nadpaleniu bądź roztrzaskaniu.
Średnia światowa skuteczność odzyskiwania danych w profesjonalnym laboratorium wynosi obecnie ok. 80 procent. Składają się na nią również najcięższe przypadki, w których nośniki zostały celowo zniszczone fizycznie, spalone czy zalane wodą. W większości tego typu wypadków dane nie są tracone bezpowrotnie.
Uwaga!
Każde kopiowanie danych jest zabezpieczane wyliczeniem tzw. sumy kontrolnej. Na jej podstawie możliwe jest określenie w przyszłości, czy opisywana przez nią struktura nie była poddawana manipulacji.
Odtwarzanie i odzyskiwanie danych
Dane pobrane z nośników firmy zawierają najczęściej ogromną ilość informacji, z których część z punktu widzenia prowadzonego dochodzenia jest nieprzydatna. Sytuację dodatkowo może skomplikować fakt, że nośnik zawiera dużą ilość danych niewidocznych dla użytkownika, a dostępnych dopiero w procesie odtwarzania danych (np. skasowanych, ukrytych lub zaszyfrowanych).
Ponadto w procesie odtwarzania danych specjaliści docierają również do tzw. slack space – sektorów i klastrów resztkowych, które mogą być nieoce- nionym zbiorem informacji dla prowadzących śledztwa czy dochodzenia, szczególnie w przypadkach, w których nastąpiło nadpisanie danych dowodowych, czyli zapisanie na nie nowych informacji.
Pora na analizę
Kolejnym krokiem, po odtworzeniu danych w procesie informatyki śledczej, jest ich analiza. Typowe poszukiwanie danych istotnych dla prowadzonej sprawy polega na dostosowaniu wszystkich zebranych danych do formatu pozwalającego użytkownikowi na łatwy dostęp do informacji.
Praca specjalisty informatyki śledczej na etapie analizy danych polega na odpowiedzi na kluczowe pytania (kto, co i kiedy) i na odtworzeniu kolejności krytycznych zdarzeń.
Raport do wykorzystania
Wynikiem pracy specjalistów i od nformatyki śledczej w przedsiębiorstwie jest szczegółowy raport zawierający informacje o odnalezionych danych istotnych dla prowadzonej sprawy. Elementem raportu powinno być także osadzenie w czasie kluczowych zdarzeń. Jako że treść raportu musi być ściśle skorelowana ze sprawą, konieczna jest bliska współpraca specjalistów w laboratorium z osobami prowadzącymi sprawę.
Elementem współpracy laboratorium informatyki śledczej i klienta – przedsiębiorcy – jest także przedstawianie wyników prac w sądzie. Mimo że nie wszystkie sprawy trafiają na wokandę, wszystkie czynności w ramach procesu informatyki śledczej muszą być prowadzone w taki sposób, aby wartość dowodowa zgromadzonego materiału była niepodważalna.
Często potrzebne są jedynie np. dowody winy pracownika, pozwalające pracodawcy na uszczelnienie systemu dostępu do informacji.
Najczęściej analizowane pliki
Jedną z najczęściej analizowanych kategorii danych w procesie informatyki śledczej są pliki poczty elektronicznej. Już dziś szacuje się, że tylko w Stanach Zjednoczonych przeciętny pracownik używający poczty elektronicznej otrzymuje i wysyła łącznie 60 – 200 wiadomości pocztowych dziennie.
Przesyłane drogą elektroniczną informacje (dane) od komputera nadawcy przez jego serwer pocztowy trafiają do sieci, skąd wędrują do serwera pocztowego odbiorcy, kończąc swą podróż w komputerze adresata. Na każdym z etapów istnieje możliwość wykorzystania tych danych w procesie dowodowym zmierzającym do wykrycia „przecieku” informacji, czy to poprzez odtworzenie treści podejrzanej wiadomości, czasu jej wysłania czy też innych jej cech.
Korporacyjne serwery pocztowe przechowują wiadomości wszystkich pracowników, którzy korzystają z poczty elektronicznej. Zgodnie z wymogami Disaster Recovery Plans (dokumentów określających standardy działań) sporządzane i przechowywane są kopie zapasowe zasobów gromadzonych na serwerach firmowych.
Często specjaliści od informatyki śledczej stają przed koniecznością analizy wielu milionów informacji pocztowych niejednokrotnie pochodzących z różnych serwerów i ich kopii bezpieczeństwa.
Komentuje Paweł Odor, główny specjalista Kroll Ontrack w Polsce
Od niemal 20 lat usługi informatyki śledczej pozwalają odnaleźć właściwy trop prowadzonych przez organy ścigania dochodzeń.
Dzięki wykorzystywanym w nich elektronicznym środkom dowodowym sądy mają nowe narzędzie do zwalczania nadużyć i przestępstw.
Firmy, instytucje publiczne i osoby prywatne mają natomiast szansę na obronę przed nieuczciwymi działaniami, których ślady można odnaleźć w komputerach. Na razie wiedza polskich przedsiębiorców o informatycznych śledztwach jest nikła. Powinno to się zmienić.
