Urządzenia cyfrowe są dziś na tyle popularne i wykorzystywane we wszystkich dziedzinach życia, że praktycznie każde przestępstwo pozostawia po sobie dowody cyfrowe zapisane w pamięci dysku twardego komputera, telefonu komórkowego, smartfona, czy innego urządzenia.
I choć dowody cyfrowe silnie wspierają zarówno proces karny, jak i cywilny, to zdarza się, że eksperci z zakresu informatyki śledczej popełniają wiele błędów podczas przeprowadzania prac analitycznych materiału, które dyskwalifikują opinię biegłego jako dowód w sprawie. Poniżej opisujemy pięć błędów najczęściej popełnianych zarówno przez informatyków śledczych zasilających szeregi służb i organów ścigania, jak również ekspertów z instytucji komercyjnych.
1.Niezabezpieczenie cyfrowego materiału dowodowego blokerem sprzętowym
Zabezpieczenie danych na nośnikach na potrzeby wykonania kopii binarnej, bądź w trakcie prac analitycznych, przed modyfikacją zapisów i wprowadzeniem przypadkowych zmian w strukturze logicznej danych to pierwsza i podstawowa czynność jaką powinien wykonać informatyk śledczy. Zmiana struktury chociażby jednego sektora może podważyć wiarygodność opinii z powodu manipulacji danymi. Jeśli bowiem na nośniku widoczne są jakiekolwiek zmiany i nowe zapisy, powstałe już po zabezpieczeniu sprzętu, to przeciwnik procesowy może próbować udowadniać, że cała analiza śledcza jest zmanipulowana i zawiera sfabrykowane dowody.
2.Nieizolowanie urządzenia cyfrowego od sieci, co może spowodować modyfikację danych
Czasami zdarza się, że technicy wykonujący pracę na miejscu zabezpieczenia sprzętu komputerowego, niepotrzebnie uruchamiają go, mimo, że niezwykle rzadko prace badawcze nad zawartością nośnika prowadzone są bezpośrednio w miejscu zabezpieczenia – z uwagi na pracochłonność procesu analiza śledcza odbywa się zwykle w laboratorium. Podobnie, zdarza się śledczym włączyć komputer, bądź telefon w trakcie prac analitycznych, nie bacząc, że w urządzeniu jest karta sim, bądź urządzenie nawiązało połączenie z siecią. Odebranie jakichkolwiek wiadomości, bądź jakakolwiek modyfikacja struktury logicznej danych, a nawet sama zmiana ustawień systemu operacyjnego również mogą wyłączyć dowód z postępowania dowodowego, jako niewiarygodny.
3.Brak fizycznego zabezpieczenia nośników przed ich uszkodzeniem, zniszczeniem, bądź utratą
Nośnik zabezpieczony w trakcie postępowania przygotowawczego, z którego pozyskiwane mają być dowody cyfrowe, prócz zabezpieczenia przez przypadkowymi zapisami, powinien być również chroniony fizycznie przed wszelkimi incydentami, które mogłyby doprowadzić do jego zniszczenia, zagubienia, czy trafienia się w niepowołane ręce. Nośnik elektroniczny, jak każdy inny dowód może zostać celowo zniszczony w celu zatarcia dowodów popełnienia czynu zabronionego. I nawet jeśli analiza śledcza wykonana została przed zniknięciem nośnika, trudno będzie bronić zawartych w niej tez, jeśli nie ma porównawczego materiału źródłowego.
4.Brak odpowiedniego oznaczenia oraz identyfikacji zabezpieczonego sprzętu oraz dowodów cyfrowych
Właściwe oznaczenie dowodów zgromadzonych w ramach prowadzonego postępowania jest niezwykle ważne z punktu widzenia późniejszej identyfikacji dowodów oraz możliwości ich wykorzystania w trakcie procesu. Brak porządku w materiałach, czy omyłki w numerach znamionowych sprzętu, które uniemożliwiają późniejsze przypisanie materiału zgromadzonego w ramach informatyki śledczej do konkretnego nośnika danych mogą stanowić podstawę dyskwalifikacji dowodu.
5.Brak zachowania łańcucha dowodowego oraz odpowiedniej dokumentacji prac prowadzonych w ramach informatyki śledczej
Cyfrowy materiał dowodowy jest specyficzny – łatwo go zmodyfikować, bądź utracić. W związku z tym przeprowadzenie analizy śledczej danych z elektronicznego nośnika informacji wymaga zachowania tzw. łańcucha dowodowego. Oznacza to, że prace analityczne powinny być prowadzone z zachowaniem odpowiedniej chronologii, tak by w razie potrzeby możliwe było ponowne przeprowadzenie procesu. Poza tym wykonanie computer forensic zgodnie ze sztuką dowodową oznacza, że zastosowanie tych samych narzędzi w identycznych warunkach pracy zawsze powinno dać te same wyniki. Jeśli bowiem zajdzie potrzeba powołania kolejnego biegłego w tej samej sprawie, powinien on dojść do tych samych wniosków co poprzednik. Oznacza to jednocześnie, że każdy etap prac analitycznych nad cyfrowym materiałem dowodowym powinien być dokładnie dokumentowany, by nie było wątpliwości jakie kolejno czynności wykonywali biegli.
Biegli z zakresu informatyki śledczej są zwykle ekspertami w swoim fachu – osobami z odpowiednim przygotowaniem oraz doświadczeniem do pracy w obróbce cyfrowego materiału dowodowego. I choć nawet profesjonalistom zdarzają się błędy, to omyłki w pracach analitycznych wchodzących w zakres informatyki śledczej są zwykle na tyle znamienne w skutkach, że dyskwalifikują zgromadzone w sprawie dowody elektroniczne. A biorąc pod uwagę postęp technologiczny, należy spodziewać się, że wkrótce dowody cyfrowe mogą być jedynymi argumentami świadczącymi o czyjejś winie, bądź niewinności.
