W celu zapewnienia niezmienności cyfrowego materiału dowodowego oraz niepodważalności opinii wydanej przez biegłego z zakresu informatyki śledczej konieczne jest zachowanie procedur obowiązujących śledczych oraz tzw. łańcucha dowodowego. Właściwa kolejność działań ma kluczowe znaczenie w pozyskiwaniu dowodów cyfrowych.
Etapy pozyskiwania dowodów cyfrowych
1. Zlokalizowanie nośników, mogących zawierać treści, które mogą posłużyć jako dowód w prowadzonym postępowaniu.
2. Zabezpieczenie danych na nośnikach w celu zapewnienia niezmienności treści poprzez wykonanie kopii binarnej z wykorzystaniem blokera sprzętowego.
Materiał cyfrowy narażony jest na modyfikację i zniekształcenie znacznie bardziej niż dowody analogowe. Każda bowiem operacja dokonywana na nośniku elektronicznym (nawet samo uruchomienie dysku twardego, czy zamknięcie komputera) pozostawia po sobie ślad, wprowadza także zmiany w logicznej strukturze danych.
Na potrzeby prowadzanej ekspertyzy kończącej się wydaniem opinii ważne jest zatem, by nie można było zarzucić biegłemu manipulacji zapisem. Weryfikacji niezmienności służy m.in. suma kontrolna (swoisty cyfrowy odcisk palca każdego pliku oraz całego nośnika) – powinna być jednakowa w odniesieniu do materiału źródłowego, jak również kopii binarnej.
3. Fizyczne zabezpieczenie nośników przed ich uszkodzeniem, zniszczeniem, utratą, bądź przekazaniem w ręce osób nieuprawnionych.
4. Dokumentowanie pracy badawczej i procesu pozyskiwania materiałów cyfrowych w postaci nagrania, bądź spisywania chronologii działań, tak by po pierwsze możliwe było ich odtworzenie, a po drugie by zastosowanie takich samych narzędzi w identycznych warunkach pracy dało te same wyniki. Jeśli zachodziłaby potrzeba powołania kolejnego biegłego, powinien osiągnąć te same wyniki i dojść do tych samych wniosków.
5. Przeszukiwanie zawartości nośnika pod kątem występowania określonych treści – od przyjętej metodologii prac oraz narzędzi wykorzystywanych w procesie gromadzenia materiału dowodowego może zależeć wynik prac. W pierwszej kolejności biegli przeszukują zwykle nośnik pod kątem występowania zbioru określonych słów kluczowych. Jeśli osiągnięte w ten sposób wyniki nie są wystarczające ekspert przeszukuje nośnik plik po pliku.
6. Analiza pozyskanych plików pod kątem przydatności ich w prowadzonym postępowaniu. Fakt występowania w pliku wytypowanych słów kluczowych nie oznacza bowiem, że będzie on przydatny w tej konkretnej sprawie. Użycie wybranego wyrażenia może być zupełnie przypadkowe, bądź zastosowane w innym kontekście, niż badany.
7. Usystematyzowanie zgromadzonych materiałów oraz opracowanie opinii – opinia w sprawie powinna odnosić się przede wszystkim do treści postanowienia organu o powołaniu biegłego. Sędzia, bądź prokurator stawia w dokumencie pewne tezy, bądź zadaje pytania, na które odpowiedzi powinien odnaleźć biegły. Zadaniem biegłego jest bezstronna, obiektywna i rzeczowa ocena zgromadzonego materiału, nie zaś wygłaszanie subiektywnych osądów.
Opinia powinna być sporządzona na piśmie, tak by można było załączyć ją do materiału zgromadzonego już w sprawie. Powinna być sformułowana w sposób przejrzysty i jasny, tak by osoby nie posiadające doświadczenia i wiedzy informatycznej (sędziowie, prokurator, strony i ich reprezentanci) nie miały wątpliwości co biegły miał na myśli.
Pamiętać należy, że prace badawcze nad nośnikiem nie zawsze muszą zakończyć się odnalezieniem treści obciążających, czy mogących posłużyć jako dowód w prowadzonym postępowaniu. Jednakże nawet negatywny wynik badań może być prawidłowy – zapewne najzwyczajniej na nośniku nie występują treści, których występowania spodziewaliśmy się. Zatem także wnioski o braku poszukiwanych treści należy zawrzeć w treści opinii biegłego.