Informatyka śledcza to nie tylko odzyskiwanie danych

Zabezpieczaniem i analizowaniem dowodów na nośnikach cyfrowych zajmuje się informatyka śledcza. Oryginalnym terminem jest Computer forensic, który wiąże się z wieloma procesami. Można tutaj mówić o prawie, informatyce i cyberbezpieczeństwie. Nadrzędnym zadaniem informatyki jest odzyskiwanie danych, ale stanowi to dopiero początek, pozwalający na przejście do kolejnych etapów. Sięga się po przeróżne metody naukowe i zabezpieczające dowody, zajmuje analizą dowodów cyfrowych.

Computer forensic w praktyce

Informatyka śledcza bez wątpienia daje ogromne możliwości, składa się na nią wiele skomplikowanych i czasochłonnych czynności. Chodzi tutaj przede wszystkim o zbieranie danych znajdujących się na rożnego typu nośnikach, łącznie z tymi które zostały już przez kogoś usunięte. W pierwszej kolejności ustala się szczegóły konkretnej sprawy i można przejść potem do rozpoczęcia procesu. Zaczyna się od zabezpieczenia danych, dopiero później pobiera się materiały dowodowe i wykonuje ich kopie bezpieczeństwa. Specjaliści nigdy nie pracują nad oryginalnymi plikami, nie dokonują też żadnych modyfikacji, ale skupiają się wyłącznie na odczycie zawartości nośnika. Trzeba odfiltrować nieistotne dane, czyli te niepowiązane ze sprawą. Potem przystępuje się do analizy zebranych dowodów, ustalenia przebiegu zdarzeń. Kolejnym etapem jest przegotowanie raportu i zaprezentowanie go. Na koniec pozostaje opiniowanie w sprawie sądowej. Każdy z wyżej wymienionych etapów musi być starannie udokumentowany, aby nie doszło przypadkiem do utracenia wartości dowodowej. Pozyskane dowody w formie elektronicznej mogą zostać wykorzystane jako materiały dowodowe w sądzie.

Co jest wykorzystywane w informatyce śledczej?

W zależności od wykonywanej czynności informatyk śledczy sięga po konkretne narzędzia i metody. Do zabezpieczenia danych stosuje urządzenia służące do ich skanowania wyszukiwania i gromadzenia w sposób nieusuwalny dla użytkowników. Dotyczy to różnych rodzajów danych – dokumentów, komunikatorów, maili czy nawet zdjęć. Niezbędnym elementem wyposażenia jest bloker umożliwiający kopiowanie i przeglądanie danych na uprzednio zabezpieczonym nośniku, wszystko oczywiście zgodnie z praktykami informatyki śledczej. Nowoczesne sprzęty pozwalają na obrazowanie wielu dysków jednocześnie, sekwencyjnie, łącznie z ich konserwacją. Pomocne okazują się duplikatory służące do procesowego zabezpieczania danych, wzbogacone o funkcje diagnostyczne i naprawcze dysków. Wielu informatyków śledczych dysponuje zaawansowanym systemem do odzyskiwania i analizowania dowodów, który używany jest stacjonarnie i w terenie – przeczytaj więcej: https://www.pwc.pl/pl/uslugi/forensic.html.