Zobacz nasz profil na Facebooku Change language - EN

Computer forensics
Analiza i odzyskiwanie danych

Częścią naszego katalogu usług związanych z profesjonalnym zabezpieczeniem biznesu są usługi computer forensics (informatyki śledczej) i odzyskiwania danych. Najczęstszymi przypadkami ich zastosowania są:

  • kradzież danych przez zwalnianych lub nielojalnych pracowników,
  • sabotaż i szpiegostwo przemysłowe,
  • zaginięcia osób lub ucieczki nieletnich,
  • badanie przyczyn samobójstw,
  • utrata danych o szczególnym znaczeniu ekonomicznym lub sentymentalnym,
  • włamania do sieci teleinformatycznych,
  • naruszenia praw autorskich lub patentowych,
  • e-szantaż lub e-stalking.

Informatyka śledcza

Informatyka śledcza to usługi, których celem jest dostarczanie cyfrowych środków dowodowych popełnionych przestępstw, nadużyć lub innych szkodliwych działań. Wysoka skuteczność tych usług wynika z faktu, iż w dzisiejszych czasach powszechnej dostępności internetu i elektroniki użytkowej większość czynności planowanych i wykonywanych jest za pomocą komputera czy też telefonu komórkowego. Sposób przechowywania informacji przez te urządzenia sprawia natomiast, że niemal każde działanie użytkownika może być odtworzone i zabezpieczone.

Aby ślad cyfrowy mógł zostać zakwalifikowany jako źródło dowodowe przed organami władzy publicznej, konieczna jest odpowiednia procedura pozyskania i zabezpieczenia nośnika. Klient, który chce skorzystać z usług computer forensics może zlecić nam pozyskanie nośnika w odpowiedni sposób lub uczynić to samodzielnie przestrzegając m.in. poniższych zasad:

  • pozyskanie nośnika z np. komputera powinno odbywać się w obecności osoby trzeciej, która swoim czytelnym podpisem na protokole pozyskania sprzętu poświadczy tożsamość nośnika;
  • pozyskany nośnik należy zabezpieczyć przed nieuprawnionym dostępem lub demontażem za pomocą plomb znakujących naklejonych na opakowanie lub obudowę nośnika - w przypadku dysku twardego wystarczające jest zabezpieczenie gniazda interfejsu oraz śrub montażowych w taki sposób by demontaż elektroniki dysku lub obudowy talerzy pozostawiał trwały ślad; alternatywnie lub uzupełniająco można zapakować nośnik w kopertę bezpieczną, której numer należy umieścić w protokole;
  • protokół powinien zawierać datę i czas przeprowadzonej czynności, dane osoby pozyskującej oraz świadków, markę, model i numer seryjny (o ile istnieje) nośnika, a także numery wspomnianych plomb lub koperty bezpieczniej;
  • kopię podpisanego protokołu należy przesłać osobnym kanałem komunikacji (faks, mail, osobna przesyłka), a następnie dostarczyć nam sam nośnik przeznaczony do analizy wraz z oświadczeniem klienta, iż badany jest on jego własnością.

Procedura analizy danych rozpoczyna się zablokowaniem oryginalnego nośnika przed zapisem, a następnie sklonowaniem zawartych na nim danych na nośnik roboczy. Analiza przeprowadzana jest na klonie danych, a następnie, wraz z opisem całej procedury, umieszczana w ekspertyzie. Dodatkowo sporządzana jest kopia danych cyfrowych uzyskanych w wyniku analizy wraz z krótką opinią o ich zgodności z zapytaniem klienta.

Cena usługi zależy od stopnia skomplikowania przypadku, a także czasu realizacji i jest uzgadniana indywidualnie.

Odzyskiwanie danych

Usługa ta mieści się często w ramach informatyki śledczej, jednak może być świadczona również oddzielnie wszędzie tam, gdzie, mimo że doszło do działania na szkodę zleceniodawcy, nie ma konieczności zabezpieczenia śladów cyfrowych, bądź też utrata danych nastąpiła na skutek zdarzenia losowego. Użytkownik w celu maksymalizacji szans na pomyślne odzyskanie danych powinien przestrzegać kilku podstawowych zasad, a w szczególności:

  • po stwierdzeniu uszkodzenia lub utraty danych nie należy podejmować próby samodzielnego ich odzyskania, a jeśli takie próby były jednak podejmowane należy nas o tym poinformować przed podpisaniem umowy;
  • w przypadku uszkodzenia nośnika poprzez jego zalanie, w szczególności w przypadku sprzętu mobilnego, należy jak najszybciej odłączyć zawierające go urządzenie od źródła zasilania, np. poprzez natychmiastowe usunięcie baterii; nie należy podejmować prób ponownego podłączenia po wyschnięciu;
  • w przypadku innych czynników uszkadzających nośnik i dane (np. upadek z wysokości, działanie wysokich temperatur lub silnego pola elektromagnetycznego) należy możliwie jak najdokładniej opisać nam okoliczności takiego zdarzenia.

Niezależnie od możliwości jakie daje odzyskiwanie danych należy również pamiętać o regularnym sporządzaniu kopii zapasowych plików. Doświadczony technik odzyskujący dane, a mający dostęp do kopii archiwalnej będzie mógł skupić się na wychwyceniu różnic, co skraca czas i zmniejsza koszty całej operacji.