Informatyka śledcza

Informatyka śledcza
Gdy świat przestępczy spotyka specjalistów od cyfrowych danych.

Informatyka śledcza (z ang. computer forensics) jest silnie powiązana z bezpieczeństwem systemów informatycznych oraz wiedzą z zakresu prawa, które nakierunkowane są na dostarczanie cyfrowych dowodów popełnienia przestępstwa lub też nadużycia. Stosuje się ją również w celu ustalenia motywów sprawcy lub ofiary. 

Do podstawowych zadań informatyki śledczej należą: zbieranie, odzyskiwanie, analiza i prezentacja (w formie raportu) cyfrowych danych. Pierwotnie utożsamiana jest z analizą danych z różnego rodzaju nośników, jak dyski twarde komputerów, dyskietki, płyty CD, pamięci przenośne, serwery, telefony komórkowe, itp. Ostatnio coraz popularniejsze staje się pozyskiwanie danych z systemów i serwisów zdalnego gromadzenia, przechowywania i przetwarzania danych, takich jak: serwisy społecznościowe, przestrzeń dyskowa w chmurze czy wyszukiwarki internetowe. Efektem działań informatyków śledczych są cyfrowe materiały dowodowe, przygotowane zgodnie z duchem dochodzeniowo-śledczym. Dowód elektroniczny (ang. digital evidence) jest dopuszczalny zarówno w procesie cywilnym, jak i karnym. Jest to typ dowodu naukowego, spełniającego bardzo rygorystyczne wymagania amerykańskiego standardu Dauberta, zgodnie z którym metoda lub teoria naukowa, aby stać się dowodem, musi:

  • Sama w sobie być sprawdzalna i zostać już poddana kontroli, 
  • Być opisana i oceniona w literaturze fachowej, 
  • Mieć znany lub przewidywany poziom błędów uzyskiwanych przy stosowaniu tej metody, 
  • Uzyskać powszechną akceptację (ang. general acceptance) specjalistów w danej dziedzinie. 

Wymóg powszechnej akceptacji jest ważnym czynnikiem decydującym o dopuszczeniu konkretnego dowodu, jednak nie stanowi warunku koniecznego. Polskie prawo również – co do zasady – przyjmuje, że dowody elektroniczne mogą być wykorzystane w postępowaniu przed sądem. Dowód elektroniczny musi być pozyskany, potwierdzony (poddany procesowi uwierzytelniania), zabezpieczony i zanalizowany w sposób, który uniemożliwi obronie podniesienie zarzutu manipulacji dowodem czy fałszerstwa.

Przestępstwa komputerowe definiuje konwencja Rady Europy ETS 185, gdzie wskazuje się następujące ich grupy:

  • Przestępstwa przeciw poufności (ang. confidentiality), integralności (ang. integrity) i dostępności (ang. availability) danych (tzw. przestępstwa CIA). Obejmują one między innymi: nielegalny dostęp do systemów przez hacking, podsłuch czy oszukiwanie uprawnionych użytkowników (powszechnie znany „phishing”), szpiegostwo komputerowe (włączając w to trojany i inne techniki), sabotaż i wymuszenia komputerowe (wirusy, ataki DDoS, spam), 
  • Powiązane z komputerami (sieciami) przestępstwa tradycyjne, zaczynając od oszustw (od klasycznych, czyli manipulacji fakturami czy kontami firmowymi, do manipulacji on-line – oszukańczych aukcji czy nielegalnego używania kart kredytowych), poprzez komputerowe podróbki, aż do ataków na ludzkie życie przez np. manipulowanie systemami szpitalnymi czy systemami kontroli ruchu powietrznego,
  • Przestępstwa dotyczące zawartości (treści). Należą do nich na przykład: dziecięca pornografia, dostarczanie instrukcji przestępczych, a także samo oferowanie popełniania przestępstw. Ta kategoria obejmuje także molestowanie i mobbing poprzez sieć, rozpowszechnianie fałszywych informacji (np. czarny PR, schematy „pump and dump”) oraz internetowy hazard,
  • Przestępstwa powiązane z naruszeniem prawa autorskiego i praw pokrewnych, takie jak nieautoryzowane kopiowane i rozpowszechnianie programów komputerowych. Do tej kategorii zalicza się także nieautoryzowane użycie baz danych. 

Należy podkreślić, że dziedzina dostarczania elektronicznych środków dowodowych wybiega znacznie poza przestępstwa komputerowe i ma zastosowanie przy każdym przestępstwie czy nadużyciu, gdzie urządzenia elektroniczne miały zastosowanie jako nośnik danych. Warto zauważyć, że zebrany materiał niekwalifikujący się dowodowo, potrafi często naprowadzić śledczych na właściwy tor postępowania lub ewidentnie wskazać, wobec sprzecznego materiału dowodowego, prawdopodobny przebieg zdarzeń.

Do najczęstszych przypadków zastosowania informatyki śledczej w Polsce należą:

  • W sferze biznesowej – kradzież danych przez zwalnianych lub nielojalnych pracowników oraz sabotaż, w tym usuwanie albo kradzież danych firm lub instytucji publicznych, mające na celu m.in. osłabienie ich pozycji konkurencyjnej lub pozyskanie know-how, 
  • W sferze prywatnej – ustalanie motywów ucieczek nieletnich, zaginięć osób, a także niewyjaśnionych zgonów poprzez ustalenie, czy osobę nakłaniano do samobójstwa, czy też dokonano morderstwa. 

Jeśli rozważasz karierę w tym obszarze, to do Twoich zadań, jako specjalisty informatyki śledczej, będzie należało: 

  • ustalanie zakresu analizy dowodów elektronicznych oraz przedmiotu poszukiwania, 
  • właściwe zabezpieczenie kopii danych, 
  • szczegółowa analiza śladów elektronicznych,
  • sporządzenie raportu dotyczącego analizowanych danych. 

W dużych firmach, w których bezpieczeństwo danych ma krytyczne znaczenie, tradycyjna informatyka kryminalistyczna przyjmuję odmienną formę. Mówi się całościowo o praktyce określającej, dlaczego atak na zabezpieczenia się powiódł i próbującej ocenić wyrządzone szkody. Przyjęło się tę poddziedzinę cybresecurity nazywać DFIR (z ang. Digital Forensics and Incident Response) i wiąże się ją z zespołami reagowania na incydenty komputerowe (ang. computer emergency response teams CERT) lub zespołami reagowania na incydenty bezpieczeństwa komputerowego (ang. computer security incident response teams CSIRT), powoływanymi do reagowania na cyberprzestępczość lub podobne sytuacje awaryjne.

Źródła:
https://en.wikipedia.org/wiki/Computer_forensics

To powinno Cię zainteresować