Niemal połowa gospodarstw domowych posiada cztery, bądź więcej urządzeń wyposażonych w elektroniczne nośniki danych. Nie ma co się zatem dziwić, że policyjnym biegłym z zakresu informatyki śledczej brakuje mocy przerobowych przy wydawaniu opinii w zakresie badania zawartości zabezpieczonych nośników cyfrowych.
TELEFONÓW I LAPTOPÓW MAMY WIĘCEJ I WIĘCEJ
Gospodarstwa domowe używają coraz większej ilość urządzeń wyposażonych w elektroniczne nośniki danych. Jak podaje Acronis, od 2016 roku konsekwentnie ponad 40% ankietowanych konsumentów deklaruje posiadanie co najmniej czterech urządzeń, w tym komputerów stacjonarnych, laptopów, smartfonów i tabletów.
W 2019 roku do własności jednego urządzenia przyznało się zaledwie 10% ankietowanych, dwóch – 20%, trzech 24,4%, zaś czterech i więcej 45,5% badanych. To i tak nieco miej niż w latach ubiegłych – rekordowy pod tym kątem okazał się rok 2017, kiedy to ponad 50% ankietowanych dysponowało czterema, bądź więcej urządzeniami.
INFORMATYCY ŚLEDCZY MAJĄ PEŁNE RĘCE ROBOTY
Wszystko to sprawia, że wraz z ilością wykorzystywanych przez społeczeństwa narzędzi nowych technologii wzrasta rola dowodów cyfrowych – z raportu opracowanego przez firmę Cellebrite dostawcę specjalistycznych narzędzi dla informatyki śledczej – 2020 Digital Intelligence Industry Benchmark Report. The top trends redefining Law Enforcement, wynika, iż 64% kierownictwa organów ścigania dostrzega znaczenie dochodzeń cyfrowych w zapewnianiu bezpieczeństwa.
W efekcie, w przypadku dokonywania przeszukań u osób podejrzanych o popełnienie czynu zabronionego służby zabezpieczają duże ilości nośników – niekiedy w ramach jednej sprawy jest ich kilka, kilkanaście, czy wręcz kilkadziesiąt. Następnie każdy z nich należy przebadać pod kątem występowania określonych treści, mogących przyczynić się do dokonania ustaleń będących przedmiotem dochodzenia. Raport Cellebrite wskazuje, iż każdy ekspert z zakresu informatyki śledczej analizuje średnio 26 urządzeń miesięcznie, co daje więcej niż 300 rocznie.
Nie ma co się zatem dziwić, że oczekiwanie na opinię biegłego trwa nieraz latami – kolejki są coraz dłuższe, z kolei specjalistom pracującym w laboratoriach kryminalistycznych brakuje mocy przerobowych. Wynika to przede wszystkich z faktu, iż w zespołach wydziałów cyberpolicji są ograniczone ilości ekspertów, z drugiej zaś strony proces badania zawartości nośników cyfrowych oparty jest w dużej mierze o pracę specjalistycznych rozwiązań programowo – sprzętowych, co oznacza, że czas niezbędny na obsługę danego przypadku uzależniony jest między innymi od przebiegu procesu technologicznego. Ten z kolei może wymagać wydłużonego nakładu czasu w zależności od pojemności badanego nośnika oraz jego stanu technicznego – część nośników jest celowo uszkadzana przez podejrzanych w celu zniszczenia dowodów, co dodatkowo utrudnia i wydłuża prace.
Pracę policji w zakresie pozyskiwania dowodów cyfrowych oraz opracowywania opinii wspomagają komercyjne laboratoria informatyki śledczej, w których terminy oczekiwania na analizę są zwykle zdecydowanie krótsze. Jednakże z uwagi na dosyć wysokie koszty analiz przeprowadzanych przez prywatnych biegłych, praktykę tę stosuje się najczęściej w cięższych gatunkowo sprawach.
INFORMATYKA ŚLEDCZA TO UNIWERSALNE NARZĘDZIE STOSOWANE W RÓŻNYCH TYPACH SPRAW
Należy przy tym wiedzieć, iż nośniki cyfrowe nie są zabezpieczane wyłącznie na potrzeby spraw dotyczących cyberprzestępczości, ale także w ramach wszelkich przestępstw pospolitych. Zabezpieczenie telefonu, czy komputera może dotyczyć zatem także spraw karnych, np. zabójstwa. I choć już samo ciało ofiary może stać się dla śledczych skarbnicą artefaktów (np. w przypadku znalezienia zwłok w lesie z ranami po kuli wskazującymi na użycie broni palnej śledczy w pierwszej kolejności będą próbowali przyporządkować pocisk do broni z rejestru), to zapewne będą oni badali również znaleziony na miejscu zbrodni telefon. Z kolei w przypadku wytypowania podejrzanego, bądź podejrzanych, również ich sprzęt może być objęty przedmiotem postępowania.
Jak wynika z raportu Cellebrite, w 2020 roku smartfony jako źródła dowodowe występują w 97% spraw, komputery w 53%, zaś urządzenia telewizji przemysłowej CCTV w 36%. W ubiegłym roku telefony i smartfony badane były w 92% dochodzeń, komputery w 65%, zaś CCTV w 40%.
TRENDY W ZAKRESIE INFORMATYKI ŚLEDCZEJ
Raport Cellebrite dostarcza również ciekawych wniosków odnoszących się do specyfiki pracy biegłych z zakresu computer forensic i pozyskiwania przez nich dowodów cyfrowych:
- Stale rośnie różnorodność źródeł cyfrowych wykorzystywanych w prowadzonych postępowania. Obok tych oczywistych jak komputerowe dyski twarde, czy smartfony przedmiotem badań obejmowane są również np. urządzenia wykorzystywane w ramach systemu inteligentnego domu, CCTV, nośniki z dronów, urządzeń internetu rzeczy, czy systemów GPS.
- 90% badanych przypadków dotyczy smartfonów jako głównego źródła dowodów
- 6 na 10 urządzeń, które docierają do laboratorium jest zablokowanych
- Drugim największym wyzwaniem obok urządzeń zablokowanych jest uzyskiwanie dostępu do danych zaszyfrowanych
- Co drugi przypadek wymaga uzyskiwania dostępu do danych w chmurze
Wraz ze wzrostem roli urządzeń wyposażonych w pamięci masowe w życiu współczesnych społeczeństw zwiększa się także znaczenie dowodów cyfrowych wykorzystywanych na potrzeby prowadzonych postępowań. W związku z tym biegli z zakresu informatyki śledczej – pracujący zarówno w policyjnych laboratoriach kryminalistycznych, jak również komercyjnych laboratoriach informatyki śledczej powinni nastawiać się na jeszcze więcej pracy.