Rola informatyki śledczej w procesie zarządzania ryzykiem nadużyć – część 1

Tempo i atmosfera, które nierzadko towarzyszą projektom z obszaru wykrywania, zwalczania i wyjaśniania nadużyć w biznesie, nie dają warunków do tego, by przystanąć i zastanowić się nad rolą informatyki śledczej w tych procesach. Zgodnie z aktualnymi trendami miejsce informatyków i – co do zasady – IT w organizacji jest po stronie świadczących usługi. Czy zatem od działów trudniących się informatyką śledczą można żądać realizacji konkretnych usług w oparciu o umowy SLA (Service Level Agreement)? Czy można mierzyć jakość i efektywność wykonywanych przez nie zadań? Jeśli tak, to jak?

Przede wszystkim należy się zastanowić czy informatyka śledcza to jeszcze informatyka. Choć w procesie zabezpieczania i przygotowywania danych do analizy wykorzystywane są specjalistyczne urządzenia i rozwiązania informatyczne, to w praktyce coraz trudniej wyobrazić sobie taką dziedzinę życia, w której nie stosuje się komputerów. Wykorzystywanie dedykowanych rozwiązań nie może zatem stanowić o tym, że pracę ekspertów z dziedziny informatyki śledczej postrzega się przez pryzmat oczekiwań względem poziomu realizacji usług IT.

Faktycznie muszą oni posiadać bardzo szeroką wiedzę, popartą wieloletnim doświadczeniem, z różnych obszarów informatyki: budowy i zasady działania systemów i sieci komputerowych, projektowania i programowania systemów, aplikacji i usług, samego bezpieczeństwa a także nowych technologii (np. mobilnych, wirtualnych). Okazuje się, że często przydatna jest także określona wiedza z innych dziedzin niespokrewnionych bezpośrednio z informatyką, takich jak finanse czy prawo.

Jak zatem w takich warunkach wyznaczać cele informatyki śledczej i mierzyć jakość pracy?

Paradoksalnie trudno jest oceniać skuteczność przedmiotowych działań w odniesieniu do danych poddanych zabezpieczaniu i analizie. Choć istotą tej pracy jest znalezienie (lub nieznalezienie) określonych informacji, to nie od eksperta zależy to, czy one faktycznie w zgromadzonym materiale się znajdują. Postępując zgodnie z regułami sztuki, stosując sprawdzone metodyki i narzędzia, eksperci zwiększają swoje szanse na dotarcie do interesujących danych, jednak ich odzyskanie lub pozyskanie nie jest możliwe, jeśli ich tam wcześniej nigdy nie było.

Definicja celów i wskaźników nie jest zatem prosta. O ile każda organizacja ma swoje potrzeby, możliwości i ograniczenia, o tyle w przypadku realizacji zadań z zakresu informatyki śledczej dwie kwestie wysuwają się z reguły na pierwsze miejsce: czas i zasada zachowania ciągłości łańcucha dowodowego (ang. chain of custody).

Projekty śledcze charakteryzują się dużą dynamiką i potrzebą reagowania na niespodziewane sytuacje w możliwie najkrótszym czasie lecz praca informatyków śledczych nie rozpoczyna się dopiero w momencie zabezpieczania danych z dysków. Właściwe jest niezbędne rozpoznanie np. jakiego typu sprzęt wykorzystuje organizacja? Ile i jakich dysków podlegać będzie zabezpieczeniu? Czy dyski są szyfrowane? W ilu i jakich lokalizacjach znajduje się sprzęt? Można mówić o szczęściu, jeśli odpowiedzi na te pytania dostępne są zawczasu. Często tak jednak nie jest. Projekty śledcze wymagają zatem pełnej gotowości, wysokich kompetencji i dobrego zaplecza sprzętowo-programowego. Dysponowanie takim zestawem pozwala minimalizować czas potrzebny na realizacje zadań z zakresu informatyki śledczej a przez to maksymalizować skuteczność takich działań.

Drugim czynnikiem charakteryzującym obszar computer forensics jest zasada zachowania ciągłości łańcucha dowodowego. Zabezpieczone dane mogą się okazać bezużyteczne, gdy zasada ta zostanie złamana. Jej istotą jest postępowanie w taki sposób, by nie dać podstawy do zakwestionowania wartości zgromadzonego materiału dowodowego i móc krok po kroku odtworzyć wykonane na materiale czynności, przykładowo przed obliczem sądu. Dzieje się to przez stosowanie właściwych narzędzi i metod, dokumentację wykonywanych procedur i logiczne oraz fizyczne zabezpieczenie materiału i jego kopii oraz dokumentacji. Od osób realizujących zadania z zakresu informatyki śledczej należy bezwzględnie wymagać przestrzegania zasady chain of custody.

Warto zauważyć, że chcąc minimalizować czas niezbędny na zabezpieczenie i analizę danych, stwarza się warunki, w których zachowanie łańcucha dowodowego staje się problematyczne. Podobnie skrupulatnie dokumentując wykonywane czynności poświęcany jest na to cenny czas. Znalezienie złotego środka jest kluczem do tego by mówić o efektywnej pracy ekspertów od informatyki śledczej.

Podobne wpisy

Komentarze 1


    Warning: call_user_func(mytheme_comment) [function.call-user-func]: First argument is expected to be a valid callback in /wp-includes/class-walker-comment.php on line 174

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *