Przegląd wybranych modeli i procedur zabezpieczania dowodów cyfrowych

W Polsce brak jest skodyfikowanych i ujednoliconych szczegółowych procedur odnoszących się do zabezpieczania dowodów cyfrowych. Z uwagi na to należy sięgać do fragmentów z wielu różnych procedur stosowanych w przypadku przestępstw. Jednym z nich są wytyczne stosowane w przypadku przestępstw o charakterze gospodarczym i korupcyjnym do stosowania przeznaczone są procedury European Anti-Fraud Office - OLAF¹⁰⁹, czyli biura Komisji Europejskiej zajmujące się zwalczaniem korupcji w unijnych instytucjach oraz oszustwom na szkodę budżetu Unii Europejskiej. W odniesieniu do napotkanych w toku postępowań urządzeń lub danych informatycznych najważniejszymi czynnościami do wykonania na miejscu zdarzenia są udokumentowanie zastanego stanu rzeczy i dokonywanych czynności, w tym sporządzenie spisu sprzętu cyfrowego, ocena zabezpieczonych wstępnie urządzeń w celu ustalenia, które należy poddać dalszym czynnościom, stworzenie bezpiecznej kopii uzyskanych danych, sporządzenie dokumentacji końcowej opisującej sposób uzyskania nośników i urządzeń zabezpieczonych w trakcie czynności, sposób ich zabezpieczenia i przechowywania oraz zawarcie w dokumentacji wszelkich uwag i sugestii co do przeprowadzanych czynności.

Dodatkowo jako odpowiedni sposób przechowywania sprzętu wymienia się zaszyfrowanie dysków twardych, plastikowe worki antystatyczne zabezpieczone pieczęciami oraz inne ochronne opakowania i torby umożliwiające transport zabezpieczonych urządzeń w sposób bezpieczny oraz nie wywołujący uszkodzenia nośników i potencjalnych dowodów. Na każdym etapie czynności powinny być wykonywane oraz nadzorowane przez pracowników dysponujących odpowiednimi kwalifikacjami i akredytacjami, w celu zapewnienia pewności i integralności postępowania dowodowego, tzw. „łańcucha dowodów” (ang. chain of evidence).

Oprócz wspomnianego wyżej wyróżnić można następujące funkcjonujące i opisane modele zabezpieczania dowodów cyfrowych:

1. SRDFIM (ang. Symantec Digital Forensic Investigation Model), w którym wyróżniono 11 faz działania: przygotowania, zabezpieczenia miejsca zdarzenia,

109 Guidelines on Digital Forensic Procedures for OLAF Staff, https://ec.europa.eu/anti-fraud/sites/antifraud/files/guidelines_en.pdf (dostęp 30.04.2018).

63 wstępnej oceny sytuacji, udokumentowania miejsca zdarzenia odcięcia środków komunikacji, zebrania dowodów cyfrowych, zabezpieczenia dowodów cyfrowych, analizy wstępnej, analizy właściwej, prezentacji i oceny następczej¹¹⁰,

2. DFRW (ang. Digital Forensics Research Workshop) wyróżnia 7 kroków:

identyfikacji problemu, zabezpieczenia miejsca, zebrania dowodów, analizy danych, przygotowania opinii, prezentacji dowodu i decyzji końcowej¹¹¹,

3. The Abstract Digital Forensics Model rozróżnia 9 etapów postępowania:

identyfikacji problemu, przygotowania, planowania, zabezpieczenia miejsca, zebrania dowodów, wstępnej analizy danych, przygotowania opinii, prezentacji dowodu, prezentacji dowodu oraz zwrotu zatrzymanego sprzętu właścicielowi¹¹², 4. ADAM (ang. Advanced Data Acquisition Model) dokonuje rozróżnienia jedynie na

3 etapy: planowania wstępnego, ponownego planowania (dokonywanego na miejscu zdarzenia) i zabezpieczenia danych¹¹³,

5. ACPO (ang. Association of Chief Police Officers) wymienia 4 fazy jako główne i zasadnicze dla dokonywania czynności zabezpieczania dowodów cyfrowych:

planowania, zabezpieczania, analizy i prezentacji¹¹⁴.

Wymienione powyżej modele postępowania w sprawie zabezpieczania dowodów cyfrowych odnoszą się w dużej mierze do taktyki dokonywania czynności

110 Część wyszczególnionych w ramach tej procedury faz działania pokrywa się z ogólnymi zasadami dokonywania oględzin miejsca zdarzenia, co sprawia, że jest wymienionych aż 11 faz; ponadto w celu większej efektywności dokonywania tej procedury można by zrezygnować z wyszczególniania niektórych faz. A. Agarwal, M. Gupta, S. Gupta, S.C. Gupta, Systematic digital forensic investigation model, „International Journal of Computer Science and Security” 2011, t. 5(1).

111 Kroki wyróżnione w tej procedurze wydają się zbyt ogólne, aby mogły być szczegółowymi wytycznymi dokonywania czynności dowodowych sensu largo, jednak są odpowiednie jako swoisty wstęp do rozważań nad postępowaniem z dowodami cyfrowymi, ale także ze wszelkimi innymi dowodami, choć bardziej na poziomie akademickim aniżeli specjalistycznym. M. Kohn, J.H.P. Eloff, M.S. Olivier, Framework for a Digital Forensic Investigation, Information and Computer Security Architectures Research Group (ICSA), Department of Computer Science, University of Pretoria,

https://www.researchgate.net/publication/220803284_Framework_for_a_Digital_Forensic_Investigation, (dostęp 30.04.2018), za: National Institute of Justice, Results from Tools and Technology Working Group, Governors Summit on Cybercrime and Cyberterrorsism, Princeton 2002.

112 Wobec tej procedury można wysnuć podobne zarzuty jak wobec poprzednio wymienionej, choć niewątpliwie byłoby ich mniej z uwagi na jej większe rozbudowanie i położenie większego nacisku na szczegóły. M. Reith, C. Carr, G. Gunsch, An examination of digital forensic models, „International Journal of Digital Evidence“ 2002, t. 1(3).

113 R.B. Adams, The Advanced Data Acquisition Model (ADAM): a Process Model for Digital Forensic Practice, Murdoch University 2012.

114 J. Williams, ACPO Good Practice Guide for Digital Evidence, Association of Chief Police Officers, marzec 2012,

http://www.digital-detective.net/digital-forensics-documents/ACPO_Good_Practice_Guide_for_Digital_Evidence_v5.pdf (dostęp 30.04.2018).

64 kryminalistycznych. Można zauważyć podobieństwa między nimi, posiadają one wspólne punkty, a wszystkie z nich w pewien sposób starają się odpowiedzieć na 7 złotych pytań kryminalistyki. Zdecydowanym postulatem każdej z nich jest to, aby czynności w odniesieniu do zabezpieczania dowodów cyfrowych dokonywane były przez osoby odpowiednio wyszkolone i wykwalifikowane do ich podejmowania. Bez tego istnieje ryzyko braku możliwości wykorzystania ich w postępowaniu dowodowym z uwagi na ich nikłą jakość, wartość dowodową lub niedochowanie procedur, a więc możliwe niespełnienie wymogów legalności.

Jak to zostało już zaznaczone powyżej, w Polsce nie ma jednolicie przyjętego systemu lub modelu czynności dotyczących dowodów cyfrowych. P. Karasek wskazuje, że w piśmiennictwie polskim najczęściej przywoływanym modelem jest ACPO¹¹⁵, który wyróżnia cztery główne fazy podejmowanych czynności. Ograniczenie się do określenia głównych, objętościowo dużych, etapów zamiast wyróżnienia większej liczby, bardziej szczegółowych, pozwala z jednej strony na wykorzystanie ich częściej, do większe liczby postępowań. Natomiast z drugiej brakuje im szczegółowości, nierzadko oczekiwanej od konkretnych, szczegółowych modeli procedur, które mają się różnić od przepisów prawa.

Brak specyfikacji i większej konkretyzacji powoduje, że procedury niewiele różnią się od ogólnych przepisów prawa dotyczących zabezpieczania dowodów cyfrowych i mają przez to nikły wpływ oraz znaczenie dla nauk kryminalistycznych. Oczekiwać należy albo uszczegółowiania istniejących ogólnych modeli zabezpieczania dowodów cyfrowych albo przy tworzeniu nowych dookreślania ich w sposób pozwalający na wykorzystanie w praktyce bez sięgania do innych źródeł lub opracowań. W ten sposób spodziewać się można pozytywnych zmian, wpływających na efektywność postępowań prowadzonych przez organy ścigania.

Przyjmując lub adaptując któryś z modeli jako ogólnonarodowy lub międzynarodowy standard postępowania w sprawach dotyczących cyberprzestępczości, należy odchodzić od tych zbyt generalnych lub wręcz wtórnych treściowo wobec przepisów prawa. O ile przepisom generalność i lakoniczność semantyczna jest potrzebna i nierzadko niezbędna, o tyle procedury kryminalistyczne w wyniku zbyt dużego poziomu ogólności tracą na swojej funkcjonalności. Określenie obowiązków oraz opatrzenie ich wskazaniem odpowiednich technicznych metod i sposobów zabezpieczania dowodów

115 P. Karasek, Dowód cyfrowy – aspekty kryminalistyczne, praca mgr niepubl., Warszawa 2014.

65 cyfrowych, należy uznać za pożądany kierunek, szczególnie w przypadku cyberprzestępczości. Dodać do tego można postulat nieustannego aktualizowania przyjętych modeli lub modelu w związku z postępem technicznym i technologicznym oraz wykrywanymi zagrożeniami dla bezpieczeństwa.