Proces informatyki śledczej

Zgromadzenie dowodów najczęściej polega m.in. na zabezpieczeniu nośników danych i stworzeniu dwóch kopii binarnych dla każdego nośnika. Jeden z wykonanych obrazów nośnika używany jest do analizy danych pod kątem poszukiwania określonych z góry kryteriów, drugi obraz nośnika zostaje zabezpieczony. W przypadku wystąpienia poszukiwanych danych stanowi on materiał dowodowy. Na cykl czynności związanych z informatyką śledczą składają się:

• zabezpieczenie danych z dostępnych nośników;
• przygotowanie kopii, na której pracują specjaliści (oryginalny nośnik zostaje zabezpieczony);
• odfiltrowanie nieistotnych danych (pliki należące do systemu operacyjnego oraz typowych programów czy powtarzające się pliki);
• analiza zebranych dowodów pod kątem prowadzonej sprawy;
• przedstawienie raportu;
• udostępnianie i prezentacja danych oraz opiniowanie w sprawie sądowej.

Każdy z etapów pracy musi być udokumentowany tak, aby przedstawiony materiał nie utracił wartości dowodowej. Jednym ze sposobów zachowania wartości dowodowej materiałów jest oznaczenie ich unikalną sumą kontrolną gwarantującą identyczność materiału źródłowego i kopii. Raport stanowi podsumowanie i zestawienie znalezionych materiałów dowodowych.
Odnalezione w ten sposób elektroniczne dowody przestępczości mogą być wykorzystane jako materiały dowodowe w sądzie.

Co możemy udowodnić?

Przykładowe nadużycia wykazane przy pomocy dowodów elektronicznych:

• Defraudacja środków finansowych
• Łamanie prawa pracy
• Kradzież danych
• Wyciek danych
• Celowe niszczenie danych
• Szpiegostwo przemysłowe
• Łamanie praw autorskich
• Kradzież projektów
• Nadużycia finansowe
• Ujawnienie tajemnicy handlowej
• Kradzież i użycie danych osobowych
• Nadużycia dotyczące etyki
• Sprawy kryminalne (handel narkotykami, terroryzm, morderstwa, samobójstwa, zorganizowana przestępczość, pedofilia)
• Wiele innych nadużyć, przy których można zastosować metody informatyki śledczej