W sprawach dużej wagi, kiedy cyfrowe materiały dowodowe mogłyby obciążyć sprawcę, ten często niszczy zapis cyfrowy, bądź cały nośnik, w nadziei uniknięcia odpowiedzialności karnej.
Postęp technologiczny w służbie wymiarowi sprawiedliwości
Jeszcze kilkanaście lat temu działanie takie mogłoby być skuteczne i wystarczające – odzyskiwanie danych bowiem dopiero raczkowało. Z drugiej zaś strony w tamtych czasach nikt nie myślał jeszcze o wykorzystywaniu zapisów na elektronicznych nośnikach danych jako dowodów cyfrowych obciążających podejrzanego o popełnienie czynu zabronionego. Dziś pod względem technologicznym jesteśmy już w zupełnie innym miejscu, informatyka pozwala na dostarczanie dowodów z mniej tradycyjnych i oczywistych niż dotychczas źródeł dowodowych. Prawo zaś, mimo, że nie dotrzymuje kroku postępowi technologicznemu, coraz chętniej sięga po cyfrowe rozwiązania w zakresie prowadzonych postępowań, np. w postaci dozoru elektronicznego, czy pozyskiwania dowodów cyfrowych z nośników elektronicznych.
Nośniki cyfrowe jako źródła dowodowe
Procedura sądowa jest niezwykle konserwatywna i zachowawcza. Sędziowie niechętnie sięgają po rozwiązania, które mogłyby prowadzić do błędów i stanowić podstawę wznowienia postępowania. Niemniej, już od wielu lat w sprawach prowadzonych przed sądami dopuszczane są dowody pochodzące z nośników cyfrowych. Mogą być to informacje pochodzące z dysków twardych, telefonów komórkowych i smartfonów, pendrive, kart pamięci, dyktafonów, a także dowody świadczące o działaniach sprawcy, bądź jego aktywności w internecie.
W ramach prowadzenia czynności mających na celu zgromadzenie materiału dowodowego przez organ prowadzący postępowanie, na podstawie art. 236a kodeksu postępowania karnego możliwe jest zatrzymanie urządzenia zawierającego dane informatyczne lub systemu informatycznego, w zakresie danych przechowywanych w tym urządzeniu lub systemie albo na nośniku, w tym korespondencji przesyłanej pocztą elektroniczną. Przepis pozwala na zatrzymanie elektronicznych nośników danych oraz całych urządzeń wyposażonych w dyski twarde, np. serwery, macierze RAID, bowiem zapisane na nich dane mogą stanowić dowód w sprawie. Zatrzymanie rzeczy realizowane jest na podstawie postanowienia właściwego organu. W pierwszej kolejności użytkownik, bądź dysponent nośników wzywany jest do dobrowolnego wydania nośników, bądź danych. Jeśli odmawia ich wydania, bądź twierdzi, że nie posiada przedmiotów, o których mowa w postanowieniu, prokurator, policja, bądź inny organ może dokonać przeszukania pomieszczeń, bądź innych miejsc, w celu znalezienia rzeczy mogących stanowić dowód w sprawie.
Odzyskiwanie danych
Zdarzają się jednak sytuacje, w których osoba podejrzana o popełnienie przestępstwa, w chwili przeszukiwania pomieszczenia, w którym znajduje się nośnik zawierający obciążające dane niszczy go, np. uderzając dyskiem o twardą powierzchnię, czy łamiąc telefon, bądź pendrive. Czasami osoba świadoma swej przestępczej działalności odpowiednio wcześniej usuwa, bądź modyfikuje zapisy na elektronicznym nośniku informacji, z nadzieją uniknięcia odpowiedzialności. W takich sytuacjach organowi prowadzącemu postępowanie pozostaje opcja odzyskiwania danych, która pozwala na przywrócenie zapisów sprzed ich usunięcia, bądź uszkodzenia urządzenia na którym zapisane były dane.
Proces uzyskiwania dostępu do materiałów zapisanych na nośniku, mogących stanowić dowód w prowadzonym postępowaniu może być przeprowadzony przez specjalistyczne laboratoria policyjne, bądź przez podmioty komercyjne, specjalizujące się w odzyskiwaniu danych oraz informatyce śledczej. W takich sytuacjach prokurator powołuje firmę jako instytucję specjalistyczną w charakterze biegłego, a efektem pracy ekspertów z firmy data recovery jest raport zawierający odzwierciedlenie stanu cyfrowych zapisów na nośniku. Choć niektóre uszkodzenia mogą być tak rozległe, że danych nie będzie można odzyskać, to w większości przypadków proces data recovery kończy się sukcesem w postaci przywrócenia dostępu do pierwotnej struktury danych.
Informatyka śledcza po odzyskiwaniu danych
Po uzyskaniu przez laboratorium data recovery dostępu do strefy danych, do akcji wkracza zespół ekspertów od informatyki śledczej w celu analizy odzyskanej zawartości, pod katem występowania treści mogących mieć znaczenie dla prowadzonego postępowania. W postanowieniu o powołaniu biegłego prokurator wskazuje zwykle tezy, które należy zweryfikować podczas prac badawczych. Biegli nie muszą przeglądać zatem każdego pliku zapisanego na nośniku, lecz skupiają się wyłącznie na analizie danych mających znaczenie dla sprawy. I tak na przykład w sprawach o pedofilię, przedmiotem analizy śledczej będą wszelkie treści noszące znamiona tego przestępstwa, zatem zdjęcia, filmy, przeglądane strony internetowe, czy korespondencja mogąca świadczyć o działalności pedofilskiej, np. nakłanianie małoletnich do spotkania. Niekiedy zdarza się niestety również i tak, że sprzęt zabezpieczany jest zbyt późno i danych nie można odzyskać z uwagi na ich nadpisanie nową zawartością.
Współczesna informatyka daje szeroki wachlarz możliwości wspierania innych dziedzin, w tym prawa – w zakresie pozyskiwania elektronicznych dowodów czynów zabronionych. I choć wydawać by się mogło, że współpraca informatyka z prawnikiem będzie trudna, ponieważ rozmawiają zupełnie niezrozumiałymi dla siebie językami, to zwykle jest na tyle owocna, że skutkuje pozyskaniem dowodów elektronicznych, mających wpływ na rozstrzygnięcie sprawy.