Bezpieczeństwo IT

Bezpieczeństwo IT

Udostępnij URL przez:

Bezpieczeństwem II zacząłem się zajmować w 2006 roku, poprzez działalność Biegłego Sądowego z zakresu informatyki i telekomunikacji. Biegli sądowi z zakresu informatyki, wykonujący czynności na rzecz organów sprawiedliwości stanowią element krajowego systemu cyberbezpieczeństwa. Organy sprawiedliwości wspólnie z prokuraturą, Policją, Agencją Bezpieczeństwa Wewnętrznego (ABW) czy też Żandarmerią Wojskową coraz częściej korzystają z pomocy biegłych z zakresu informatyki w celu określenia przedmiotu sporu i identyfikacji sprawcy różnych zdarzeń. Niniejszy artykuł podsumowuje zakres i rolę biegłych w opiniowaniu w sprawach z związanych z naruszeniem bezpieczeństwa teleinformatycznego czy też popełnianiem przestępstw w cyberprzestrzeni.

Na wstępie należy podkreślić, że kwestie dotyczące biegłych sądowych reguluje rozporządzenie Ministra Sprawiedliwości z dnia 24.01.2005r. w sprawie biegłych sądowych (Dz. U. Nr 15, poz. 133, dalej „Rozporządzenie”).

Biegły Sądowy jest organem pomocniczym wymiaru sprawiedliwości wyłącznie w czynnościach specjalistycznych. Tytułu Biegłego Sądowego można używać tylko sporządzając opinie dla określonego w przepisach prawa kręgu podmiotów. Pomimo, że korzystanie z wiadomości biegłego odbywa się na tych samych zasadach, co w stosunku do świadka, to świadek pełni funkcję bierną w postępowaniu sądowym, podczas gdy biegły pełni funkcję czynną

Warto zaznaczyć, że zgodnie z przepisami prawa

  1. Posiada obywatelstwo polskie,
  2. Ukończyła 25 lat życia,
  3. Posiada praktyczne i teoretyczne wiadomości specjalne w danej gałęzi nauki, techniki, sztuki, rzemiosła, a także innej umiejętności, dla której ma być ustanowiona,
  4. Daje rękojmię należytego wykonywania obowiązków biegłego,
  5. Wyrazi zgodę na ustanowienie jej biegłym. 

Decyzję o ustanowieniu biegłym sądowym lub o odmowie ustanowienia biegłym podejmuje Prezes Sądu Okręgowego. Prezes danego Sądu Okręgowego we własnym zakresie prowadzi listę Biegłych Sądowych w różnym dziedzinach m.in. w zakresie informatyki, którą udostępnia np. na swojej stronie internetowej.  

Zgodnie z §15 Rozporządzenia Instytucjami uprawnionymi do wydawania zleceń biegłym sądowym są wyłącznie sądy lub organy prowadzące postępowanie przygotowawcze w sprawach karnych. Często listy biegłych sądowych są publikowane na stronach internetowych sądów lub są udostępniane stronom lub uczestnikom postępowania bezpośrednio przez sąd.

Na listach biegłych sądowych prowadzonych przez Prezesów Sądów Okręgowych pojawią się różne wpisy określające informatykę z podziałem na dziedzinę czy też specjalizację np. cyberprzestępczość, telekomunikacja, informatyka śledcza i wiele innych.  Często biegli samodzielnie sygnalizują, jakie czynności mogą wykonać i wskazują przykładowe wpisy Np.:

  1. Zabezpieczanie danych w miejscu popełnienia zdarzenia tzn. zatrzymania komputerów, telefonów, smartfonów, tabletów, cyfrowych nośników informacji, systemów monitoringu wizyjnego, baz danych oraz danych zapisanych w serwerach sieciowych;
  2. Wykonywanie odczytów i analiz zawartości zapisów na nośnikach elektronicznych;
  3. Odzyskiwanie utraconych danych z dysków twardych, telefonów, smartfonów;
  4. Zapewnianie monitoringu wizyjnego oraz internetowego.
  5. Wykonywanie odczyt, analizę oraz badanie audiodokumentów (Audiodokument – dokument składający się z sekwencji związanych ze sobą obrazów towarzyszącym dźwiękiem lub bez niego, wymagająca, aby jego zawartość była widoczna lub słyszalna.  PN-ISO 5127:2005);  
  6. Wykonywanie fonoskopii tzn. badanie zapisów dźwiękowych, a w szczególności identyfikacji osób na podstawie analizy mowy zarejestrowanej analogowo lub cyfrowo na wszelkiego rodzaju nośnikach
    (M. Goc. Fonoskopia [w;] E. Gruza, M. Goc, J. Moszczyński, Kryminalistyka, – czyli rzecz o metodach śledczych. Wydawnictwa Akademickie i Profesjonalne, Warszawa 2008, s. 411.);
  7. Wykonywanie analizy śladów pozostawionych przy popełnianiu przestępstw w tym internetowych,
  8. Analizowanie w urządzeniach techniki cyfrowej, systemach komputerowych, serwerach, aplikacjach oraz nośniki danych pod kątem naruszenia praw autorskich;
  9. Wykonywanie badań w zakresie przestępstw związanych z Internetem,
  10. Analizowanie serwerów mailowych, serwerów WWW oraz portali internetowych i języków skryptowych zawartych na serwerach;
  11. Przeanalizowanie systemów informatycznych oraz sieci telekomunikacyjnych, w tym przewodowych i bezprzewodowej (w tym komórkowe GSM);
  12. Przeanalizowanie układów automatyki domowej i systemów alarmowych itd.

Praca biegłego z zakresu informatyki polega na sporządzeniu opinii w oparciu o wykonanie poszczególnych czynności:

  • Właściwe zabezpieczenie kopii danych;
  • Ustalenie zakresu analizy dowodów rzeczowych oraz podmiotu poszukiwania;
  • Szczegółowe przeanalizowanie śladów elektronicznych;
  • Sporządzenie raportu technicznego.

Ponadto, w dziedzinie informatycznej związanej z cyberbezpieczeństwem cały czas pojawiają się nowe synonimy wskazujące na nowe zapotrzebowanie i działalność:

  • „informatyce sądowej”,
  • „informatyce śledczej”,
  • „prawie nowych technologii”,
  • „informatyce prawniczej”,
  • „cybernetyce prawniczej”,
  • „kryminalistyce komputerowej”,
  • itd.

Niezaprzeczalnym jest fakt, że biegły sądowy z zakresu informatyki musi mieć obszerną wiedzę specjalistyczną. W kilku słowach można określić, że praca biegłego z zakresu informatyki to analiza nośników danych (dyski twarde, cyfrowe aparaty fotograficzne, pamięci USB, płyty CD/DVD/BD itd.),

Urządzeń elektronicznych, w tym PC, notebooki itp. (poprzez analizę logów systemowych, plików historii, czy też analiza powłamaniowa) oraz weryfikacja urządzeń telekomunikacyjnych (analiza ruchu sieciowego). 

Biegły sądowy z zakresu informatyki służy dla uprawnionych organów wiadomościami specjalnymi w zakresie informatyzacji, specyfiki tworzenia i użytkowania programów komputerowych oraz przetwarzania informacji w systemach komputerowych. W tym miejscu należy podkreślić, że informatyka jest nauką o technicznych aspektach przetwarzania informacji w systemach komputerowych.  Informatyka nie zajmuje się interpretacją treści przetwarzanej informacji (wyjąwszy metainformacje (Pewne systemy i wiadomości spełniają często funkcje metainformacyjne, na przykład: katalogi, skorowidze, klasyfikacje i nomenklatury, rejestry, słowniki terminologiczne, dokumentacja systemu informatycznego J. Oleński (2001, s. 388). Metainformacje to w ogólnym rozumieniu „informacja o informacji”.) o samych systemach komputerowych, pliki historii, logi systemowe, informacje diagnostyczne o systemach komputerowych). Informatyk nie umie obsługiwać wszelkich możliwych programów ani tym bardziej nie może wypowiadać się o zgodności przetwarzanych informacji z prawem i stanem faktycznym. Biegły informatyk może informację ujawnić (wydrukować, nagrać na płycie), ale do jej interpretacji w postępowaniu przed sądem potrzeba innych specjalistów lub biegłych (seksuologa, księgowego, lekarza itd.).

Bardzo często biegły z zakresu informatyki ma do czynienia z ogromną ilością informacji (dysk twardy zwykłego użytkownika potrafi pomieścić setki Giga Bajtów), stąd zazwyczaj nie ma sensu jej przeszukiwanie bez dokładnego określenia poszukiwanego elementu (najlepiej w postaci sformalizowanego wzorca wyszukiwania), wskazane jest też wykonywanie opinii łączonych (uprawniony organ powinien powiedzieć, jakich informacji poszukuje).

W większości przypadków uprawnione organy oczekują od biegłego informatyka do sporządzenia opinii samodzielnego zawężenia obszaru poszukiwań lub wskazanie przedmiotu sporu. Biegły, zatem musi być odpowiednio przygotowany merytorycznie i posiadać stosowane doświadczenie, aby dobrać najodpowiedniejszą metodę badawczą w celu udzielenia odpowiedzi na zadane pytania przez uprawniony organ. W tym przypadku biegły sądowy z zakresu informatyki musi dobrać odpowiednie komputerowe narzędzia wspomagające do wykonanie opinii.

Mając na uwadze, że biegły informatyk nie może wykonywać działań dla nieuprawnionych instytucji to ustalono pojęcie informatyka śledczego, który analogicznie do sporządzanej opinii biegłego wykonuje ekspertyzę dla pomiotów niebędących uprawnionych do zlecania pracy biegłemu. Jednym z liderów informatyki śledczej w Polsce jest firma Mediarecovery (Mediarecovery – nazwa handlowa należąca do Media Sp. z o.o.. Spółka Media to jedno z najstarszych polskich przedsiębiorstw zajmujących się informatyką śledczą. Więcej informacji na stronie internetowej https://mediarecovery.pl).

Zabezpieczenie kopii danych oraz ustalenie zakresu analizy dowodów rzeczowych oraz pomiotu wyszukiwania nie wymaga komputerowego wsparcia pracy biegłego, lecz jego udział w czynnościach i specjalistyczna wiedza oraz doświadczenie w tym zakresie jest niezbędna.

Szczegółowa analiza śladów elektronicznych nie jest możliwa bez wykorzystania stosownych narzędzi komputerowych. Dobór stosowanych narzędzi komputerowych zależy tylko i wyłącznie od biegłego. Biegli w tym zakresie korzystają z darmowego oraz płatnego oprogramowania z zakresu informatyki śledczej. Warto zaznaczyć, że płatne oprogramowanie jest prostsze w obsłudze i posiada wsparcie techniczne jego właściciela.

Aby zobrazować dostępne oprogramowanie służące do badań informatycznych wskazano próbkę przykładowego oprogramowania ze sklepu internetowej dostępnego po adresem strony internetowej https://forensictools.pl należącego do Mediarecovery. 

Funkcjonalność powyższych programów komputerowych jest niezbędna do pracy biegłego informatyka.  Biegły sądowy z zakresu informatyki poza specjalistycznym oprogramowaniem do sporządzenia stosownej opinii potrzebuje specjalistycznej wiedzy oraz praktycznej umiejętności jej zastosowania. Dodatkowo musi posiadać do tego odpowiedni sprzęt elektroniczny.

Poza oprogramowaniem do informatyki śledczej niezbędne jest posiadanie takich urządzeń elektronicznych, jak:

  • Blokery tzn. specjalistyczne urządzenie służące do szybkiego blokowania zapisu na nośnikach danych np. twarde dyski,
  • Urządzenia typu Cellebrite do analizy urządzeń mobilnych,
  • Sprzętowe duplikatory do wykonywania kopii zapasowych z wysoką prędkością,
  • Różnego rodzaju adaptery i mostki do pracy z różnymi rodzajami dysków i napędów oraz do wykonania kopii zapasowej oryginalnego nośnika.    

Po wykonaniu wszystkich czynności zleconych przez odpowiedni organ Państwowy biegły informatyki zobowiązany jest do sporządzenia opinii.

Zgodnie z art. 278 § 3 Kodeksu postępowania cywilnego (kpc – Ustawa z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (t. j. Dz. U. 2016 poz. 1822) forma opinii zależny od uprawnionego podmiotu, który w postanowieniu będącym podstawą do wydania opinii, oznaczy czy opinia ma być przedstawiona ustnie, czy na piśmie. Uprawniony organ przy wyborze jednej z powyższych form opinii bierze pod uwagę całokształt tematyki, a więc złożony charakter sprawy będącej przedmiotem opinii, a także spodziewany rozmiar. Mając na uwadze te okoliczności, opinie biegłych informatyków najczęściej sporządzane są na piśmie. W przypadku złożenia przez biegłego opinii w formie pisemnej, powinna być ona złożona w odpisach, dla doręczenia ich stronom postępowania w celu zagwarantowania stronom czynnego udziału w toku przeprowadzania postępowania dowodowego.

Sporządzenie takiej opinii w formie pisemnej ma charakter pracy biurowej. Biegły informatyk sporządzający dokument na piśmie za pomocą oprogramowania biurowego, wykorzystuje skaner cyfrowy, drukarkę (najlepiej kolorową), nagrywarkę CV/DVD itp.

Do elementów treści opinii biegłego należą: dokładne oznaczenie biegłego sporządzającego opinię a zatem imię, nazwisko, adres zamieszkania, ewentualnie nazwa instytutu naukowego lub naukowo – badawczego sporządzającego opinię, siedziba, a także wskazanie, czy biegły jest wpisany na listę biegłych sądowych. Ponadto opinia zawiera: oznaczenie specjalności biegłego (np. z zakresu medycyny, geodezji i kartografii), miejsce i datę sporządzenia opinii, dokładne oznaczenie sądu zlecającego wykonaną opinię i postanowienia będącego podstawą wydania opinii, a także sygnaturę akt. W dalszej kolejności biegły powinien uwzględnić w opinii: wyszczególnienie zadań zleconych biegłemu w postanowieniu, wskazanie dowodów, będących częścią materiału dowodowego, na podstawie, których biegły jest zobowiązany wydać opinię. Następnie biegły w sposób zwięzły przedstawia w opinii stan faktyczny, będący przedmiotem postępowania. Wskazuje źródła wiedzy specjalistycznej, z których korzystał przy sporządzaniu opinii. Dodatkowo podaje dokładny opis przeprowadzonych badań, uwzględniając metodę badania i urządzenia lub aparaturę, którymi się posługiwał przy przeprowadzonych przez niego badaniach. Zasadniczym elementem opinii biegłego są wnioski, które zawierają wyjaśnienie okoliczności faktycznych sprawy określone w zleceniu sądu, ze wskazaniem toku rozumowania biegłego przy dochodzeniu do przedmiotowych wniosków, zgodnie z zasadami logiki, doświadczenia życiowego i wiedzy powszechnej. W formie załączników do opinii biegły dołącza wykaz dokumentów, którymi posługiwał się przy sporządzeniu opinii. Nieodzownym elementem opinii jest podpis biegłego lub osób upoważnionych przez instytut naukowy lub naukowo – badawczy do sporządzenia opinii.

Ostatecznie biegły informatyk ma świadomość, że strony sporu po doręczeniu im odpisów opinii mogą składać zastrzeżenia, co do treści opinii, przede wszystkim kwestionując niekorzystne dla stron wnioski, zawarte w opinii.

Na koniec warto podkreślić, że nie ma powszechnie akceptowanych szkoleń dla biegłych, procedur pracy (tzw. „dobre praktyki”), instytucji naukowych zajmujących się wyłącznie informatyką sądową. Nie ma również zinstytucjonalizowanej informatyki sądowej.

W przeciwieństwie do medycyny sądowej informatycy nie mają na przykład żadnych wytycznych ani wypracowanych standardów odnośnie do tego, na czym polega choćby w art. 268a KK –„istotny stopień” zakłócenia automatycznego przetwarzania, gromadzenia lub przekazywania danych.

Można znaleźć nieliczne opracowania naukowe poświęcone sądowemu opiniowaniu w zakresie informatyki, ale w konsekwencji nie ma ujednoliconej praktyki opiniodawczej.

BIBLIOGRAFIA:

  1. Rozporządzenie Ministra Sprawiedliwości z dnia 24.01.2005r. w sprawie biegłych sądowych (Dz. U. Nr 15, poz. 133).
  2. 1358 Monitor Prawniczy 24/2007.
  3. PN-ISO 5127:2005. Informacja i dokumentacja. Terminologia.
  4. Oleński J., Ekonomika informacji, PWE, Warszawa 2001.
  5. M. Goc. Fonoskopia [w;] E. Gruza, M. Goc, J. Moszczyński, Kryminalistyka – czyli rzecz o metodach śledczych. Wydawnictwa Akademickie i Profesjonalne, Warszawa 2008
  6. Strona internetowa www.mediarecovery.pl dostęp w dniu 07.02.2017r.
  7. Strona internetowa www.forensictools.pl dostęp w dniu 07.02.2017r.
  8. Ustawa z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (t. j. Dz. U. 2016 poz. 1822).