Informatyka śledcza, sądowa, ekspertyzy sądowe, przestępstwa komputerowe, Computer Forensics

Informatyka Śledcza

Kto? Co? Kiedy? W jaki sposób? - to podstawowe pytania które zadaje sobie śledczy aby uzyskać jak najpełniejszy obraz działania użytkownika komputera w określonym czasie.

Kto?

W dzisiejszych czasach informacje w formie elektronicznej mają dużą wartość. Dane te są narażone na kradzież przez niepożądane osoby. Najczęściej sprawcami są pracownicy firm lub instytucji, którzy mają dostęp do poufnych informacji. Zgromadzone w toku badania dane, traktuje się jako dowód elektroniczny.

Co?

Komputerowa informacja to obecnie najcenniejszy środek zdobywania pozycji na rynku. Według badań, szacuje się, że ponad połowa pracowników przyznała się do przywłaszczenia danych firmowych bez zgody pracodawcy, lub przenosiła je na na różne nośniki elektroniczne. Można sobie tylko wyobrazić, na jakie straty mogą narazić Twoją firmę nielojalni pracownicy.

Najczęstszym przypadkiem kasowania danych przez nielojalnego pracownika jest poczta elektroniczna. Powinna ona zostać poddana szczegółowej analizie, ponieważ to za pomocą e-maili dochodzi do w większości przypadków do wycieku poufnych informacji z firmy. Wszelkie archiwa rozmów przeprowadzonych na komputerze za pomocą komunikatorów (Gadu-Gadu, Skype, itp.) również mogą zawierać wiele cennych informacji. Ostatnio przeglądane strony internetowe mogą dają szeroki obraz działalności osoby podejrzanej. Zainstalowane oprogramowanie, często niezgodnie z polityką firmy, również jest podstawą do włączenia go do materiału dowodowego.

Kiedy?

Gdy dochodzi do przestępstwa komputerowego, kluczowe jest uzyskanie informacji takich jak:

zakres dat, w których komputer był używany
kiedy był zainstalowany system operacyjny
kiedy usunięto informacje z nośników
jaki rodzaj plików był ostatnio modyfikowany
do kogo i kiedy były wysyłane wiadomości e-mail
jakie stron www otwierał użytkownik

Tego typu informacje pomocne są także, w momencie gdy w grę wchodzą ekspertyzy sądowe (dla organów procesowych) lub udowodnienie zdrady.

W jaki sposób?

Najczęściej spotykamy się z sytuacją, w której użytkownik komputera celowo kasuje dane. Nie używa do tego celu specjalistycznego oprogramowania, tylko kasuje je bezpośrednio z poziomu systemu operacyjnego. Tak usunięte dane informatyk sądowy może przywrócić i nadać im ciągłość czasową, co umożliwi dokładne przeanalizowanie zgromadzonych informacji, określanych jako dowód elektroniczny.

Zdarza się jednak, że osoba użyje oprogramowania do kasowania lub zamazywania danych, bądź wykona ponowną instalację systemu operacyjnego w miejsce istniejącego. W takich przypadkach sprawa staje się poważna i wymaga bardziej wnikliwej analizy.