wstęp
Dowód cyfrowy posiada cechy, które odróżniają go od trady-cyjnych dowodów rzeczowych, i w związku z tym powinien być traktowany w sposób szczególny. Dane w postaci cyfrowej mogą być łatwo zniszczone lub utracone. Pierwsze czynności na miejscu zdarzenia, w trakcie których zabezpieczane są cy-frowe środki dowodowe, mają istotny wpływ na przebieg całe-go postępowania karnecałe-go. Dlatecałe-go urządzenia i znajdujące się w nich dane muszą być prawidłowo zabezpieczone. Należy jed-nak zaznaczyć, że w krajowych przepisach prawnych brak jest wytycznych zawierających metodykę zabezpieczania śladów cyfrowych. Metodyka zabezpieczania cyfrowych środków do-wodowych pozostawiona została praktyce, czyli pewnym zwy-czajom i procedurom, które wyznacza wiedza oraz doświadcze-nie życiowe i praktyczne specjalistów informatyki śledczej.
Stały i dynamiczny rozwój nowych technologii wymusza ko-nieczność ciągłej aktualizacji i nieustannego dostosowywania sposobu postępowania w zakresie zabezpieczania dowodów cyfrowych. Oczywiste jest, że zabezpieczenie tego rodzaju do-wodów powinno być przeprowadzone w sposób pozwalający uniknąć ich modyfikacji.
Przegląd literatury z tego zakresu pozwala stwierdzić, że nie-które z zalecanych praktyk dotyczących zabezpieczenia budzą poważne wątpliwości, np. takie, które w przypadku uruchomio-nego sprzętu komputerowego nakazują m.in. natychmiastowe wyłączenie komputera poprzez wyciągnięcie wtyczki
przewo-du zasilającego. Zdaniem autora proponowane sposoby zabez-pieczania dowodów cyfrowych stwarzają ryzyko trwałej utraty danych, pomimo że ich celem jest niedopuszczenie do takiej sytuacji. W związku z powyższym niezbędne wydaje się wyja-śnienie i usystematyzowanie problematyki związanej z zabez-pieczaniem dowodów cyfrowych. Z uwagi jednak na ogromną liczbę i różnorodność urządzeń mogących zawierać dane cy-frowe, w niniejszym artykule kwestie te zostaną omówione na przykładzie sprzętu komputerowego.
Autor podejmie próbę oceny opisywanej w literaturze metody-ki zabezpieczania dowodów elektronicznych w postaci sprzętu komputerowego. Ponieważ kluczową kwestią w zakresie zabez-pieczania ich jest techniczna możliwość zabezzabez-pieczania danych ulotnych, zostaną zaproponowane ogólne założenia nowego podejścia do zabezpieczania dowodów elektronicznych, które zdaniem autora powinny być uwzględniane podczas zabezpie-czania dowodów w postaci sprzętu komputerowego.
1. Dowód cyfrowy
W polskich przepisach prawnych nie ma żadnej definicji do-wodu elektronicznego. Najczęściej przytaczana jest definicja opracowana przez Międzynarodową Organizację do spraw Dowodów Komputerowych (International Organization on
PraKtyczne asPeKty zabezPieczania
sprzętu koMputerowego
Instruktor Zakładu Cyberbezpieczeństwa
Instytutu Służby Kryminalnej Wydziału Bezpieczeństwa Wewnętrznego Wyższej Szkoły Policji w Szczytnie
podkom. paweł olber
W niniejszym artykule wyjaśniono istniejące wątpliwości dotyczące prawidłowego podejścia do pozyskiwania
materiału dowodowego w formie cyfrowej. Autor odnosi się do metod i procedur opublikowanych w literaturze
fachowej, które uważa za nieodpowiednie oraz anachroniczne. Twierdzi, iż należy sprostać wyzwaniom
dotyczą-cym stałego i dynamicznego rozwoju technologicznego w kontekście wzrastającego znaczenia dowodów
elek-tronicznych w sprawach karnych. Obecne podejście do przedmiotowego zagadnienia wymaga uaktualnienia
w celu pozyskiwania materiału dowodowego w formie cyfrowej na miejscu zdarzenia poprzez zabezpieczenie
nietrwałych danych. Autor artykułu porządkuje również podstawowe kwestie związane z elektronicznym
materia-łem dowodowym poprzez zdefiniowanie konkretnej koncepcji oraz przedstawienie jej charakterystycznych cech.
Computer Evidence), zgodnie z którą dowód elektroniczny to:
„informacje przechowywane lub przekazywane w formie binar-nej, które mogą być przedstawione w sądzie” (ang. information stored or transmitted in binary form that may be relied upon in court)1. Należy zaznaczyć, że dowód elektroniczny nie jest rzeczą i ma charakter niematerialny, mimo że jest przetwarzany z wykorzystaniem obiektów materialnych2, na przykład za po-średnictwem sprzętu komputerowego. Właściwość ta sprawia, że dowód elektroniczny ma cechy szczególne, które odróżniają go od tradycyjnych dowodów rzeczowych3. Cechy te zostały wymienione poniżej.
łatwość modyfikacji i usunięcia – niewłaściwe i niekontro-lowane postępowanie z dowodami elektronicznymi może do-prowadzić do ich nieuzasadnionej modyfikacji lub usunięcia.
Uszkodzeniu ulec może także sam nośnik zawierający dane w postaci cyfrowej. Z tego powodu wymagane jest zastosowa-nie szczególnych środków ostrożności podczas zabezpieczania i analizy tego typu dowodów. Zdaniem autora, przed przystą-pieniem do zabezpieczenia sprzętu komputerowego konieczne jest przeprowadzenie identyfikacji systemu operacyjnego oraz sprawdzenie jego zasobów. W ramach tej czynności osoba za-bezpieczająca dane powinna dokonać m.in. sprawdzenia, czy zasoby systemu operacyjnego są zaszyfrowane, ponieważ usta-lenia te będą determinowały sposób zabezpieczenia danych.
Czynności te z pewnością spowodują modyfikację danych, przy czym są one niezbędne do prawidłowego zabezpieczenia ma-teriału dowodowego. Bardzo ważne jest, aby zakres modyfika-cji był minimalny, uzasadniony i bardzo szczegółowo opisany w sporządzonej dokumentacji procesowej.
Poszlakowy charakter – w większości przypadków dowód elektroniczny wskazuje na sprawcę przestępstwa dopiero w ze-stawieniu go z innymi dowodami. Pozyskanie danego dowodu elektronicznego nigdy nie prowadzi bezpośrednio do wskazania sprawcy przestępstwa. Zdaniem autora cecha ta charakteryzuje również inne ślady i dowody, w związku z czym brak jest uza-sadnienia do stosowania jej jako kryterium odróżniające dowo-dy elektroniczne od tradowo-dycyjnych dowodów rzeczowych.
szczególne podejście – dowód elektroniczny musi być odpo-wiednio zabezpieczony, uwierzytelniony, a następnie poddany badaniom. Warto podkreślić, że sposób zabezpieczenia powi-nien być aktualny i dostosowany do rodzaju dowodu elektro-nicznego.
równość kopii i oryginału – badania dowodów cyfrowych po-winny być prowadzone na kopii utworzonej na zasadzie równo-ści z oryginałem. Utworzoną kopię binarną należy uwierzytel-nić za za pomocą funkcji skrótu.
2. Sprzęt komputerowy jako dowód cyfrowy
Wszelkie czynności związane z dowodami cyfrowymi powinny być wykonywane zgodnie z przyjętymi zasadami informatyki śledczej4 – gałęzi nauk sądowych, której celem jest dostarczenie cyfrowych środków dowodowych popełnionych przestępstw lub nadużyć, a także odtworzenie stanu poprzedniego w celu ustale-nia motywów działaustale-nia sprawcy lub ofiary5. Zasady te sprowa-dzają się przede wszystkim do dbania autentyczność i wierność dowodu cyfrowego. Autentyczność odnosi się do bezsporności pochodzenia materiału, z kolei wierność rozumiana jest jako możliwość stwierdzenia, czy materiał nie został w żaden sposób zmieniony w trakcie zabezpieczenia lub podczas badań6.
Zda-niem autora wierność dowodu cyfrowego należy rozumieć rów-nież jako możliwość udokumentowania świadomie wykonanych czynności w systemie operacyjnym zabezpieczanego komputera (co wiąże się także ze świadomą modyfikacją danych w mini-malnym zakresie) oraz sposobność potwierdzenia tych zmian w późniejszym etapie podczas przeprowadzania badań informa-tycznych. Zasadność rozszerzenia znaczenia pojęciowego cechy, jaką jest wierność dowodu cyfrowego, wynika z aktualnego sta-nu wiedzy z zakresu nowych technologii. Dotyczy to również rozwiązań programowych, które obecnie umożliwiają zabez-pieczanie danych ulotnych w szczególności w postaci pamięci RAM, co z kolei wiąże się z modyfikacją danych elektronicz-nych. Wydaje się jednak, że rozszerzenie dotychczasowego po-dejścia do dowodów cyfrowych o dodatkowy element, jakim są dane ulotne, jest racjonalne i uzasadnione. Potwierdzeniem tego stwierdzenia jest wyrok Sądu Najwyższego z dnia 20 czerwca 2013 r., sygn. III KK 12/137, z treści którego wynika, że infor-matyka śledcza jako dziedzina rozwija się w bardzo szybkim tempie. Wymiar sprawiedliwości musi więc dążyć do uzyski-wania wiedzy o jak najdoskonalszych metodach zabezpieczania dowodów w sprawie, a do takich niewątpliwie należą procedury przewidujące zabezpieczanie danych ulotnych. Sąd Najwyższy podkreślił również, że do tematu dowodów elektronicznych na-leży podejść bardzo ostrożnie, ponieważ statystycznie dane te bardzo często ulegają modyfikacjom, co wynika z samej istoty zapisu elektronicznego.
Sposób zabezpieczania sprzętu komputerowego zależy od stanu, w jakim znajduje się sprzęt w chwili podejmowania czynności.
Możemy mieć do czynienia ze sprzętem, który jest wyłączony lub uruchomiony. Ocenienie stanu, w jakim znajduje się sprzęt w chwili zabezpieczenia, również może przysporzyć pewnych trudności osobie, która nie posiada stosownej wiedzy. Zdarzyć się może bowiem, że sprzęt znajduje się w stanie wstrzymania (w tzw. trybie uśpienia), w celu zmniejszenia poboru prądu.
W tym stanie komputer wyłącza część urządzeń, np. monitor, dyski twarde oraz zmienia tryb pracy procesora8. Wszystkie informacje pozostają jednak zapisane w pamięci RAM,, która jest pamięcią ulotną, przechowującą dane tak długo, jak długo włączone jest zasilanie. W przypadku odłączenia zasilania dane zapisane w pamięci RAM zostają utracone.
Zabezpieczenie wyłączonego sprzętu komputerowego jest bar-dzo proste i sprowadza się do opisu cech identyfikacyjnych sprzę-tu oraz odpowiedniego zabezpieczenia technicznego, w sposób chroniący sprzęt przed uszkodzeniami mechanicznymi.
Sposób zabezpieczenia uruchomionego komputera jest już trudniejszym zadaniem. Prawdą jest, że w takiej sytuacji na-leży zachować szczególną ostrożność, ponieważ każde użycie komputera (otwarcie lub zamknięcie programu, dokumentu itd.) prowadzi do modyfikacji danych. Nie sposób się jednak zgo-dzić ze stwierdzeniem, że przeglądanie zawartości uruchomio-nego sprzętu jest całkowicie niedopuszczalne9. Zdaniem autora istnieją uzasadnione przypadki, w których wymagane będzie sprawdzenie zawartości zasobów systemu operacyjnego. Zali-czyć do nich można chociażby konieczność sprawdzenia, czy uruchomiony system operacyjny korzysta z dodatkowych dys-ków sieciowych, które mogą znajdować się w tym samym po-mieszczeniu, lub też konieczność sprawdzenia, czy dane znaj-dujące się na dysku komputera są zaszyfrowane. W zależności od stwierdzonych na miejscu faktów możliwe będzie podjęcie dalszych decyzji co do sposobu zabezpieczenia danych. Gdy okaże się, że system zawiera dane zaszyfrowane, konieczne bę-dzie wykonanie obrazu zawartości pamięci RAM oraz obrazu
PRAWIDłOWE ZABEZPIECZANIE DOWODóW CyFROWyCh zawartości logicznej dysków zamontowanych w komputerze.
Przedmiotowy sposób postępowania pozwoli na uzyskanie do-stępu do danych cyfrowych, które w dalszej kolejności zosta-ną poddane badaniom kryminalistycznym, zgodnie z zakresem zleconym przez funkcjonariusza prowadzącego postępowanie.
3. Istniejące procedury zabezpieczania dowodów cyfrowych
Opisywane w literaturze przedmiotu procedury i metody zabez-pieczania uruchomionego sprzętu komputerowego zawierają m.in. informacje o konieczności natychmiastowego odłączenia kabla sieciowego w celu uniemożliwienia zdalnej komunikacji z systemem. Ma to na celu jak najszybsze wyłączenie kompu-tera w sposób, który nie wpłynie negatywnie na zawarte dane10. Przedmiotowy sposób postępowania należy uznać jednak za postępowanie nieaktualne, niewłaściwe, a wręcz destrukcyjne.
Metoda ta przekreśla szansę uzyskania miarodajnej opinii bie-głego. Z całą pewnością powyższe stwierdzenie podzielają sami biegli z zakresu badań informatycznych policyjnych laborato-riów kryminalistycznych, którzy od dawna nie stosują wyżej opisywanego podejścia. W przypadku, kiedy dane znajdujące się na dysku twardym będą zaszyfrowane, wyżej wymienione postępowanie dotyczące zabezpieczania komputera spowodu-je ich bezpowrotną utratę, co z pewnością utrudni wyjaśnienie sprawy. W odniesieniu do istniejących metod można zadać py-tanie, czy natychmiastowa izolacja sprzętu komputerowego po-przez odłączenie kabla sieciowego lub zasilającego na pewno nie spowoduje zmiany stanu systemu operacyjnego. Zdaniem autora każda decyzja podjęta przed zabezpieczeniem włączo-nego sprzętu komputerowego powoduje modyfikację danych, w tym również wyłączenie zasilania, odłączenie sprzętu od sieci czy też pozostanie biernym i niezrobieniem niczego.
4. Prawidłowe zabezpieczanie dowodów cyfrowych
Ze względu na specyfikę dowodów cyfrowych oraz (zdaniem autora) konieczność uwzględniania podczas zabezpieczania da-nych ulotda-nych, wskazane jest dobranie do tej czynności biegłe-go z zakresu badań informatycznych lub przeszkolonebiegłe-go spe-cjalisty. Przy czym należy zaznaczyć, że zabezpieczenie danych ulotnych nie powinno być czynnością obligatoryjną, wykony-waną każdorazowo podczas zabezpieczania sprzętu kompute-rowego. Decyzja o zabezpieczeniu danych powinna być podjęta przez osobę uprawnioną, posiadającą odpowiednie kompeten-cje. Kilkanaście lat temu jako powód udziału biegłego lub spe-cjalisty w czynnościach zabezpieczania śladów elektronicznych wskazywano konieczność utrwalania danych wyświetlonych na monitorach oraz połączeń między urządzeniami poprzez wy-konanie zdjęć, sporządzenie kopii nośników itp.11 Obecnie od biegłego/specjalisty wymaga się znacznie więcej, ponieważ za-bezpieczanie dowodów elektronicznych wymaga bardzo dobrej znajomości systemów teleinformatycznych oraz oprogramowa-nia. Dlatego też należy uznać, że udział biegłego z zakresu ba-dań informatycznych lub specjalisty jest konieczny w każdym przypadku zabezpieczania dowodów cyfrowych. Wynika to z konieczności wstępnego sprawdzenia zasobów systemowych
i określenia na tej podstawie właściwej metodyki postępowania, która pozwoli na zabezpieczenie danych w sposób właściwy.
Jak wspomniano na początku artykułu, w Polsce brak jest re-gulacji dotyczących zabezpieczania dowodów elektronicznych.
Istnieją jednak międzynarodowe standardy wskazujące sposób zabezpieczania dowodów elektronicznych, które opisane zosta-ły w dokumencie Good Practise Guide for Computer – Based Electronic Evidence12, opracowanym przez Stowarzyszenie Komendantów Policji (Association of Chief Police Officers – ACPO). Pierwsza zasada zawarta w tym dokumencie mówi o tym, że żadne działania podejmowane przez organy ścigania lub osoby uprawnione do zabezpieczenia materiału dowodowego nie powinny modyfikować danych przechowywanych w kompu-terze lub na innym nośniku pamięci, ponieważ mogą mieć one istotne znaczenie w postępowaniu. Kolejna zasada przewiduje jednak dostęp do danych oryginalnych, przy czym czynności te muszą być wykonane przez osobę posiadającą odpowiednie uprawnienia i umiejętności, która powinna również podać powód i cel swoich działań. Zgodnie z trzecią zasadą, wszelkie czyn-ności związane z uzyskiwaniem i zabezpieczaniem dowodów elektronicznych powinny być udokumentowane. Ostatnia reguła mówi o tym, że osoba wykonująca wyżej wymienione czynności związane z zabezpieczaniem dowodów elektronicznych ponosi całkowitą odpowiedzialność za przestrzeganie obowiązujących przepisów prawa oraz realizację czynności zgodnie z wyżej wy-mienionymi zasadami. Podkreślić należy, że proponowane zało-żenia nowego podejścia do zabezpieczania dowodów cyfrowych, uwzględniające zabezpieczanie danych ulotnych, są zgodne z regułami wskazanymi w dokumencie Good Practise Guide for Computer – Based Electronic Evidence.
Wśród krajowych opracowań również można znaleźć propo-zycje, które zawierają elementy (etapy postępowania) dosko-nale wpisujące się w proponowane założenia. Przykładem jest chociażby procedura podkreślająca, że informacje cyfrowe zabezpiecza się w kolejności od najbardziej ulotnych do naj-mniej ulotnych13. W przypadku pozostałych propozycji można mieć jednak pewne wątpliwości. Przykładem niech będzie np.
stwierdzenie, że zabezpieczanie informacji cyfrowych po-winno przebiegać z wykorzystaniem rozwiązań technicznych uniemożliwiających modyfikację źródła. Zgodnie z wyżej wy-mienionym zapisem mamy do czynienia z pewną sugestią co do sposobu zabezpieczenia, a nie z postępowaniem, które ma być realizowane w sposób obligatoryjny. Wydaje się jednak, że wyżej wymieniona zasada powinna również uwzględniać rozwiązania programowe, a nie jedynie ograniczać się do środ-ków technicznych.
Wracając do kwestii zabezpieczania sprzętu komputerowego, należy przyjąć, że właściwe podejście do zabezpieczania do-wodów cyfrowych powinno uwzględniać dane ulotne, zapisane m.in. w pamięci RAM, która obecnie może mieć bardzo dużą pojemność i zawierać istotne informacje o znaczeniu dowodo-wym. Warto pamiętać, że wyłączenie urządzenia może mieć nieodwracalne skutki i w przypadku szyfrowania może do-prowadzić do trwałej utraty dostępu do danych. Istnieje zatem potrzeba wprowadzenia zmian w funkcjonującym podejściu do zabezpieczania danych. Jest ona spowodowana przez dyna-micznie zmieniające się środowisko pracy, czego przykładem są niżej wymienione sytuacje:
▪
aplikacje oraz systemy operacyjne mogą być instalowane w pamięciach przenośnych USB, a następnie uruchamiane w pamięci operacyjnej RAM bez pozostawiania jakichkol-wiek śladów na dysku;▪
złośliwe oprogramowanie może być przechowywane w pa-mięci RAM, bez jakichkolwiek śladów istnienia na dysku;▪
użytkownicy mogą wykorzystywać dane zaszyfrowane lub ukryte;▪
popularne przeglądarki internetowe oferują użytkownikowi możliwość zacierania śladów.Innym przykładem sytuacji uzasadniającej natychmiastowe sprawdzenie zawartości systemu operacyjnego jest zabezpie-czenie sprzętu w firmie finansowo-księgowej. Istnieje wysokie prawdopodobieństwo, że na dyskach twardych komputerów znajdujących się w takiej firmie jest zainstalowane specjali-styczne oprogramowanie, którego uruchomienie poza środo-wiskiem macierzystego systemu operacyjnego będzie znacznie utrudnione lub wręcz niemożliwe. Dotyczy to z reguły aplikacji operujących na złożonych zbiorach danych lub programów, do których uruchomienia niezbędne jest posiadanie indywidualne-go klucza sprzętoweindywidualne-go14. W przypadku identyfikacji tego ro-dzaju oprogramowania należy podjąć decyzję o zabezpieczeniu całej jednostki komputerowej oraz uwzględnić zasoby siecio-we, jeżeli system księgowy korzystał z tego rodzaju danych.
Niezależnie od okoliczności i podjętych na miejscu zdarzenia decyzji w zakresie zabezpieczenia dowodów elektronicznych trzeba pamiętać, że wszelkie nieprawidłowości w sposobie za-bezpieczania dowodów elektronicznych mogą doprowadzić do uznania tych dowodów za wadliwe i wykluczenia ich z materia-łu dowodowego. Stwierdzenie wadliwości dowodu może skut-kować uchyleniem decyzji procesowych oraz doprowadzić do umorzenia postępowania, a nawet uniewinnienia oskarżonego15.
wniosKi
Podsumowując, należy stwierdzić, że problematyka zabezpie-czania dowodów cyfrowych jest tematem złożonym i trudnym, a przy tym bardzo istotnym. Niewłaściwe postępowanie pod-czas zabezpieczania sprzętu komputerowego może skutecznie i trwale uniemożliwić uzyskanie dostępu do danych i tym sa-mym udaremnić przeprowadzenie badań komputerowych. Na-tychmiastowe odłączanie wtyczki zasilającej od sprzętu, który jest uruchomiony, należy uznać za niszczenie materiału dowo-dowego, ponieważ bardzo często skutkuje brakiem możliwości późniejszej analizy bądź w sposób znaczący przedłuża jej czas.
Warto podkreślić, że przedstawione powyżej postępowanie może doprowadzić do utraty danych oraz narazić na odpowiedzialność cywilną z tytułu wyrządzonej szkody czy też na odpowiedzial-ność karną za przestępstwo z art. 231 kk16. Ponadto takie podej-ście nie uwzględnia kluczowych elementów, istotnych z punktu widzenia późniejszej analizy danych. Zaliczamy do nich:
▪
sprawdzenie, czy system korzysta z zasobów sieci lokalnej lub z Internetu;▪
zidentyfikowanie, czy dane w systemie informatycznym są szyfrowane;▪
weryfikację, czy dane przechowywane są w tzw. chmurze;▪
ustalenie, czy w systemie zainstalowane jest oprogramowa-nie umożliwiające zdalne sterowaoprogramowa-nie za pomocą urządzenia mogącego znajdować się w dowolnej lokalizacji;▪
sprawdzenie, czy w systemie znajdują się maszyny wirtual-ne, symulujące działanie dodatkowych komputerów;▪
ustalenie, czy system operacyjny został uruchomiony z pa-mięci przenośnej USB lub z nośnika optycznego.Natychmiastowe wyłączenie sprzętu komputerowego bez przeprowadzenia wstępnej identyfikacji środowiska informa-tycznego skutkuje trwałą i nieodwracalną utratą danych, gdyż informacje w powyższych przypadkach dostępne będą jedynie
z poziomu uruchomionego systemu operacyjnego w chwili za-bezpieczania sprzętu. Wyłączenie urządzenia spowoduje trwałą utratę informacji w nim przechowywanych, które mogą mieć ogromne znaczenie w prowadzonych postępowaniach.
Aby sprostać wyzwaniom ciągłego i dynamicznego rozwoju technologicznego, a co za tym idzie – zwiększającego się zna-czenia dowodów elektronicznych w sprawach karnych, należy dokonać aktualizacji obecnego podejścia do zabezpieczania do-wodów cyfrowych na miejscu zdarzenia poprzez uwzględnienie w tym procesie danych ulotnych.
1 E. Casey, Digital Evidence and Computer Crime, Third Edition: Foren-sic Science, Computers and the Internet, Academic Press 2011, s. 7.
2 Elementy informatyki sądowej, red. M. Szmit, Polskie Towarzystwo Informatyczne 2011, s. 28.
3 P. Krejza, Informatyka śledcza jako element reakcji na incydenty,
„Hakin9” 2008, nr 3, s. 54.
4 Postuluje się również stosowanie pojęcia informatyka sądowa. Zob.
M. Szmit, Wybrane zagadnienia opiniowania sądowo-informatycz-nego, Kraków 2014, s. 22.
5 Informatyka śledcza, w: Wikipedia, https://pl.wikipedia.org/wiki/In-formatyka_śledcza [dostęp: 16.11.2017 r.].
6 M. Niebrzydowska, R. Kotowicz, Wstęp do informatyki śledczej,
„Przegląd Bezpieczeństwa Wewnętrznego” 2012, nr 6, s. 62.
7 Wyrok Sądu Najwyższego z dnia 20 czerwca 2013 r. (sygn. III KK 12/13), https://sip.legalis.pl/document-full.seam?documentId=
mrswglrsgy2tmobwha2tg, [dostęp: 30.10.2017 r.].
8 Stan wstrzymania, w: Wikipedia, https://pl.wikipedia.org/wiki/Stan_
wstrzymania [dostęp: 29.10.2017 r.].
9 P. Karasek, Gdy dowodem są dane – czyli prawdy i mity związane z pozyskiwaniem dowodów cyfrowych, http://www.edukacjaprawni- cza.pl/gdy-dowodem-sa-dane-czyli-prawdy-i-mity-zwiazane-z-po-zyskiwaniem-dowodow-cyfrowych/ [dostęp: 16.11.2017 r.].
10 W. Kasprzak, Ślady cyfrowe. Studium Prawno-Kryminalistyczne, Warszawa 2015, s. 126.
11 A. Lach, Dowody elektroniczne w procesie karnym, Toruń 2004, s. 134.
12 Good Practise Guide for Computer − Based Electronic Evidence, http://
www.digital-detective.net/digital-forensics-documents/ACPO_Good_
Practice_Guide_for_Digital_Evidence_v5.pdf [dostęp: 16.11.2017 r.].
13 M. Niebrzydowska, R. Kotowicz, Wstęp do informatyki, s. 62.
14 A. Chrabkowski, K. Gwizdała, Zabezpieczenie dowodów elektro-nicznych, „Prokuratura i Prawo” 2015, nr 12, s. 167.
15 Tamże, s. 178.
16 A. Lach, Dowody elektroniczne, s. 120.
Summary
Practical aspects of handling computer hardware This work explains existing doubts about the right approach for
Practical aspects of handling computer hardware This work explains existing doubts about the right approach for