Pobierz najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Informatyka śledcza, czyli jak ochronić firmę przed nieuczciwymi pracownikami

Printer Friendly and PDF

leadKradzież firmowych dokumentów, nielegalne kopiowanie danych bądź przekazywanie poufnych klauzul i umów konkurencji za pomocą komputera to tylko niektóre z praktyk, jakich coraz częściej dopuszczają się nieuczciwi pracownicy tysięcy krajowych i międzynarodowych firm. Niestety także w Polsce nieuczciwe działania byłych lub obecnych pracowników wykorzystujących firmowe komputery bądź inne urządzenia elektroniczne zdarzają się coraz częściej. Jak więc ochronić naszą firmę przed poważnymi stratami finansowymi, jakie generują przestępcy komputerowi? Rozwiązaniem jest mało jeszcze znana w Polsce dziedzina IT – informatyka śledcza.

Jak wskazują specjaliści, według raportów firm monitorujących nadużycia w biznesie, do których należą także przypadki wycieku strategicznych danych, na przestrzeni lat 2006–2009 firmy z dziesięciu największych sektorów gospodarki światowej straciły średnio 8,2 miliona dolarów w wyniku nieuczciwych zachowań pracowników własnych bądź konkurencji. Również w Polsce w wyniku tego typu zdarzeń firmy tracą ogromne sumy. Choć nie ma szczegółowych danych dotyczących strat polskich firm (m.in. dlatego, że same firmy rzadko przyznają się do tego, iż padły ofiarą takich działań), szacuje się, że straty te mogą być liczone w milionach złotych.

Rozwiązaniem mogącym pomóc przedsiębiorstwom jest wprowadzenie procedur i odpowiedniej polityki bezpieczeństwa danych, która pozwala na odpowiednią reakcję w momencie zaistnienia incydentu. Do kogo zwrócić się w tego typu sytuacjach? W przypadku podejrzenia nadużycia związanego z nieuczciwym zachowaniem pracowników najlepiej skorzystać z usług informatyków śledczych – elektronicznych detektywów – którzy pomogą przeprowadzić wewnętrzne śledztwo, analizując firmowe urządzenia, a następnie dostarczą elektronicznych środków dowodowych, które firma będzie mogła wykorzystać w sądzie. Jak wyglądają więc działania informatyków śledczych w Polsce i na świecie?

Czym jest informatyka śledcza?

Informatyka śledcza (ang. computer forensics) polega na dostarczeniu elektronicznych środków dowodowych dla firm, instytucji bądź osób prywatnych, które następnie zostaną wykorzystane przez odpowiednie organa prawne. Jest to więc zespół działań i czynności specjalistów, które polegają na zabezpieczeniu, przeszukiwaniu i wykrywaniu dowodów nadużyć i przestępstw dokonanych z użyciem komputera lub innych urządzeń elektronicznych. Dzięki informatyce śledczej możemy więc odtworzyć kolejność zdarzeń użytkownika urządzenia elektronicznego w czasie (i odpowiedzieć na pytania: „kto?”, „co?”, „gdzie?”, „kiedy?”, „jak?”), działając na podstawie informacji niedostępnych dla użytkowników i administratorów systemu.

By w pełni zrozumieć, czym zajmuje się informatyka śledcza, konieczne jest wcześniejsze zapoznanie się z procesem zapisywania danych w naszych komputerach. Generują one bowiem znacznie więcej informacji, niż zdajemy sobie z tego sprawę, przy czym wiele z nich jest wymaganych do prawidłowej pracy systemu i nie są one dostępne dla użytkowników. Dotyczy to np. metadanych, a więc informacji opisujących inne informacje, których interpretacja wymaga odpowiedniej wiedzy i doświadczenia. Pozostałe dane spoczywają w różnych obszarach nośników danych w postaci logów, rejestrów i ukrytych plików systemowych. Oczywiście w kontekście rozwoju technologii mobilnych należy wspomnieć także o analizie telefonów komórkowych (ang. mobile forensics), których pamięci coraz częściej zawierają istotne dla naszych firm dokumenty.

Najpopularniejszymi nośnikami dowodów elektronicznych trafiającymi do 32 laboratoriów firmy Kroll Ontrack są dyski twarde komputerów osobistych (61,5%), serwery (20%, w tym serwery pocztowe – 7% – oraz pozostałe serwery, np. zapisujące dane z kamer monitorujących ulice – 13%), notatniki elektroniczne (3%), pamięci przenośne (11%) oraz telefony (2,5%). Większość serwerów trafia do ekspertyzy wraz z kopiami bezpieczeństwa.

Polityka bezpieczeństwa danych – klucz do sukcesu

Aby zabezpieczyć firmę, należy zacząć od stworzenia odpowiedniej polityki bezpieczeństwa danych. Pozwoli ona zabezpieczyć się nie tylko na wypadek wycieku danych spowodowanego przez nieuczciwych pracowników, lecz także na wypadek awarii sprzętu lub przypadkowego skasowania danych.

Odpowiednia polityka bezpieczeństwa staje się coraz bardziej znaczącym elementem strategii firm, co jest widoczne również w naszym kraju. Najlepiej ze wszystkich firm wypadają na tym tle oddziały zachodnich koncernów – tam odpowiednie procedury już są wdrożone. Według szacunków w ciągu najbliższych lat informatyka śledcza stanie się stałym elementem polityki bezpieczeństwa w wielu dużych polskich firmach oraz w części firm z sektora MSP. Bardzo ważne jest tutaj zdobycie wiedzy dotyczącej wykorzystania elektronicznych środków dowodowych na potrzeby zwalczania nadużyć w biznesie.

Jeśli chodzi o dane wykorzystywane przez sądy jako elektroniczne środki dowodowe, z obserwacji ekspertów firmy wynika, że zawsze lepiej postrzegane jest działanie podmiotu niezależnego, który nie będzie czerpał korzyści z ewentualnego postępowania wtedy, gdy dowody rzeczywiście staną się potrzebne. Zabezpieczenie danych przez zewnętrznych specjalistów w obecności odpowiednich osób reprezentujących firmę i ewentualnie prokuraturę lub policję jest rozwiązaniem optymalnym. Rolą procedur firmowych w tym procesie powinno być odpowiednio wczesne wykrycie nadużycia, a następnie działania, które będą zmierzały do zabezpieczenia, a nie zatarcia śladów. To właśnie wskutek niewłaściwego postępowania nie można wykorzystać wielu śladów, często oczywistych, w formie dowodów elektronicznych.

Z wielu względów włączenie procedur informatyki śledczej do polityki bezpieczeństwa stanie się w przyszłości motorem rozwoju w firmach specjalizujących się w informatyce śledczej. Po pierwsze firmy te mają już doświadczenie, przeszkolonych specjalistów oraz odpowiednie zaplecze sprzętowe i programowe. Ponadto niektóre firmy będą w stanie zabezpieczyć dowody wewnętrznie, natomiast ich ewentualną analizą będą się zajmować eksperci z tej dziedziny.

 rys1

Rys. 1. Proces informatyki śledczej

Prócz tego, eksperci w dziedzinie informatyki śledczej będą mieli za zadanie pomoc w tworzeniu i szkoleniu personelu wewnętrznych działów informatyki śledczej. Stworzenie komórki wyspecjalizowanej w informatyce śledczej nie jest jednak tanie. Dlatego nadal większość firm działających na rynku, mając wdrożone procedury informatyki śledczej, w przypadku wychwycenia incydentu będzie korzystała z pomocy fachowców z zewnątrz.

Informatyka śledcza jest najbardziej rozwinięta w USA i krajach Europy Zachodniej. Stosowanie dowodów elektronicznych jest powszechną praktyką w przedsiębiorstwach. W tym przypadku mamy do czynienia z wysoką świadomością firm. Typowym działaniem w korporacjach działających w krajach najbardziej rozwiniętych jest m.in. zabezpieczanie danych z komputera pracownika, który zmienia pracę. Takie działanie ma na celu zabezpieczenie interesów obu stron, pracownika i firmy. Określa stan faktyczny w momencie zakończenia współpracy pracownika z firmą oraz wiarygodnie dokumentuje jego działania na rzecz organizacji.

W zdecydowanej większości przypadków informatyką śledczą zajmują się niezależni eksperci. Jest to szczególnie istotne w USA, gdzie taka niezależność jest szczególnie istotna. Rozwiązania amerykańskie często bywają wzorem dla działań z zakresu informatyki śledczej w innych krajach, oczywiście z uwzględnieniem uwarunkowań prawnych danego kraju.

Proces informatyki śledczej

Proces informatyki śledczej składa się z pięciu etapów: zbierania informacji, wyliczenia sumy kontrolnej, odzyskania danych, ich analizy oraz stworzenia raportu z przeprowadzonych działań.

Zgromadzenie dowodów polega m.in. na zabezpieczeniu nośników danych i stworzeniu dwóch kopii każdego nośnika, które wykorzystują informatycy śledczy, szukając dowodów winy podejrzanego. Każdy z etapów pracy musi być udokumentowany tak, aby przedstawiony materiał nie utracił wartości dowodowej, dlatego też tak istotna jest tutaj obecność profesjonalistów korzystających z najnowocześniejszych narzędzi.

Wynikiem pracy informatyków śledczych jest szczegółowy raport zawierający informacje o odnalezionych danych, istotnych dla prowadzonej sprawy. Elementem raportu powinno być także osadzenie kluczowych zdarzeń w czasie. Jako że treść raportu musi być ściśle skorelowana ze sprawą, konieczna jest bliska współpraca specjalistów z laboratorium i osób prowadzących sprawę. Elementem współpracy laboratorium informatyki śledczej i klienta jest także przedstawianie wyników prac w sądzie. Informatycy śledczy, przywołani przez prokuratora i sądy w celu wydania opinii, prezentują materiał dowodowy jako tzw. biegli ad-hoc. Pomimo tego, że nie wszystkie sprawy trafiają na wokandę, wszystkie czynności w ramach procesu informatyki śledczej muszą być wykonane w taki sposób, aby wartość dowodowa zgromadzonego materiału była niepodważalna. Na świecie tylko około 20 procent spraw, którymi zajmują się specjaliści informatyki śledczej, ma swój finał w sądzie. Często potrzebne są jedynie dowody winy pracownika, pozwalające pracodawcy na uszczelnienie systemu dostępu do informacji.

W kryzysie i nie tylko…

Działania informatyków śledczych są szczególnie istotne w okresach, w których nasilają się zwolnienia w różnych sektorach gospodarki. Przykładem takiego okresu jest choćby ostatni światowy kryzys, który odcisnął swe piętno na niemal każdej branży. Gdy każdego dnia liczba zwalnianych pracowników rosła, pozbawione zabezpieczeń firmy stanęły w obliczu utraty swych kluczowych zasobów. Dodatkowym problemem stało się także ryzyko nadużyć, które mogli popełnić pracownicy, których wynagrodzenia zostały znacznie zmniejszone. Światowy kryzys jest tylko przykładem, lecz podobnie może być w przypadku pojedynczej firmy, która ma tymczasowe problemy finansowe lub kadrowe. W takich przypadkach przedsiębiorstwa są narażone na utratę nie tylko swych środków, lecz także budowanego przez lata wizerunku.

Należy pamiętać, że oprócz nadużyć pracowników w związku z panującym w firmie kryzysem należy spodziewać się także większej liczby przypadków kradzieży własności intelektualnej – technologii, autorskich rozwiązań, strategii czy planów – a także szpiegostwa przemysłowego, przejmowania doświadczonych pracowników czy powstania układów gospodarczych łamiących prawo. Warto zauważyć, że nawet w okresie dobrej koniunktury sama tylko wzmianka o nadużyciach w firmie powoduje spadek wartości jej akcji. Oczywiście w przypadku kryzysu spadek ten może być większy.

Najciekawsze i najpoważniejsze przypadki działań informatyków śledczych w Polsce i na świecie

Sprawa gdańskiej gimnazjalistki

Działania związane z informatyką śledczą dotyczą nie tylko danych umieszczonych na dyskach twardych komputerów, ale również w takich urządzeniach, jak pamięci flash bądź telefony komórkowe.

W związku ze zwiększającą się liczbą funkcji i pojemnością telefonów komórkowych pochodzące z nich dane mogą stać się cennym źródłem dowodowym, wykorzystywanym w informatyce śledczej. Jednym z takich przypadków była udana próba odzyskania filmu zapisanego w pamięci telefonu komórkowego jednego z gdańskich uczniów w roku 2006.

Film ten był zapisem napastowania jednej z gimnazjalistek przez grupę jej kolegów, w tym chłopca nagrywającego to zdarzenie, podczas lekcji w szkole. Nagranie zostało następnie opublikowane w Internecie. Po tym zdarzeniu i rozgłosie, jaki został mu nadany w mediach, chłopcy skasowali film. Telefon został jednak zabezpieczony przez policję, której przedstawiciele w toku postępowania przekazali aparat do analizy specjalistom informatyki śledczej. W laboratorium odzyskano wykasowaną zawartość telefonu, w tym nagranie z lekcji. Film został wykorzystany w sprawie.

Komputer prezesa portalu wp.pl

Sprawa komputera prezesa Wirtualnej Polski jest przykładem straty, jaką poniosła jedna ze stron z powodu braku świadomości istnienia usług informatyki śledczej w Polsce.

Większościowy udziałowiec portalu wp.pl zawarł porozumienie z posiadaczami udziałów stanowiącymi mniejszość, w którym zobowiązał się do odkupienia reszty udziałów po określonym czasie. Cena wykupienia udziałów miała zależeć bezpośrednio od liczby użytkowników portalu.

Po upływie terminu, w którym miało nastąpić odkupienie udziałów, okazało się, że mniejszościowy pakiet udziałów jest droższy niż łączna kapitalizacja dwóch najbardziej konkurencyjnych portali.

Większościowy udziałowiec wycofał się ze zobowiązania. Podjęto działania prowadzące do pogorszenia finansowej kondycji portalu, a w konsekwencji do jego upadłości. Mniejszościowi udziałowcy zdecydowali się na zweryfikowanie zawartości przenośnego komputera jednego z managerów.

Komputer zawierający dane, które miały stanowić materiał dowodowy w sprawie, zdeponowano u notariusza. Zanim to jednak nastąpiło, osoby te otworzyły pliki, w których znajdowały się strategiczne dla sprawy informacje – materiały mające świadczyć o próbie doprowadzenia portalu do upadłości. Niestety, otwierając dokument, zmieniono jego atrybuty, włącznie z datą utworzenia, pozbawiając go wartości dowodowej.

Gdyby mniejszościowi udziałowcy zlecili takie działania informatykom śledczym, zabezpieczyliby oni nośnik, wykonaliby kopię jego zawartości bez uruchamiania plików oraz umożliwiliby osobom prowadzącym dochodzenie wgląd do zawartości plików. W ten sposób wartość dowodowa zgromadzonego materiału zostałaby zachowana.

Informatycy śledczy dla FBI i Prokuratora Generalnego USA

W Stanach Zjednoczonych pracownikowi dużej korporacji została wytoczona sprawa o umyślne spowodowanie utraty strategicznych danych jego pracodawcy. Miało to doprowadzić do znacznych strat firmy, a w rezultacie do zwolnienia jej 100 pracowników.

W trakcie analizy dokonywanej przez informatyków śledczych okazało się, że jeszcze pracując w korporacji, pracownik stworzył program komputerowy, który niszczył dane. Program umieścił na firmowym serwerze. Okazało się, że narzędzie działało na zasadzie bomby zegarowej. „Bombę” aktywował nieświadomie jeden z pracowników, logując się po określonym czasie na tym serwerze.

Specjaliści wykazali winę zwolnionego pracownika, obalając główny argument obrony, jakoby dane firmowe zostały skasowane przypadkowo. Wykazali dodatkowo, że na prywatnym komputerze oskarżonego znajdowały się dane identyczne z tymi, które posłużyły do stworzenia groźnego programu. Po analizie wszystkich danych znajdujących się na serwerach pocztowych oraz koncie pocztowym podejrzanego pracownika informatycy śledczy przedstawili materiał dowodowy w sądzie. Dopiero te działania umożliwiły udowodnienie winy pracownika.

Dysk Aleksandry Jakubowskiej i dyski wykradzione z MSZ

Do końca lat dziewięćdziesiątych świadomość istnienia informatyki śledczej była w Polsce niemalże zerowa. Zmiany nastąpiły dopiero wtedy, gdy działania związane z informatyką śledczą zaczęły dotyczyć głośnych spraw, takich jak np. afera Rywina czy wykradzenie dysków z Ministerstwa Spraw Zagranicznych. Jednocześnie wydarzenia te pokazały, jak istotna może okazać się praca specjalistów informatyki śledczej.

W roku 2002 rozpoczęło się śledztwo związane z tzw. aferą Rywina. Jednym z kluczowych dla śledztwa działań było odzyskanie wiadomości pocztowej ze sformatowanego dysku minister Aleksandry Jakubowskiej. Znajdowały się na nim dowody pozwalające prokuraturze na ustalenie przebiegu wydarzeń w jednym z wątków afery korupcyjnej.

Drugim wydarzeniem, które zwróciło uwagę opinii publicznej na informatykę śledczą, było wykradzenie dysków z Ministerstwa Spraw Zagranicznych. Brak zabezpieczenia zużytych nośników i monitorowania dostępności do nich mógł, w najgorszym wypadku, doprowadzić do pogorszenia stosunków międzynarodowych między Polską a innymi krajami.

Nieuczciwi pracownicy

Ostatnio coraz powszechniejszy staje się problem nieuczciwości pracowników. Do najliczniejszych przypadków, którymi zajmują się elektroniczni detektywi, należy m.in. kradzież danych przez nieuczciwych pracowników.

Przykładem jest jedna z firm informatycznych, zajmująca się tworzeniem i wdrożeniami aplikacji biznesowych. Zespół zatrudniony do obsługi jednego z klientów firmy postanowił przejąć proponowane przez firmę rozwiązania (przygotowywał się do kradzieży kodu źródłowego informacji) i sprzedać je poza nią, po uprzednim zwolnieniu się poszczególnych osób z pracy. Ustalono nawet osobną pulę pieniędzy, która miała być przeznaczona na ewentualną karę nałożoną przez pracodawcę. Propozycję, która miała być tańsza od oryginalnej, złożył jeden z handlowców, będący w bezpośrednim kontakcie z klientem. W efekcie klient postanowił zerwać umowę z firmą i skorzystać z tańszej oferty, złożonej przez nieuczciwych pracowników.

Zaniepokojony takim postępowaniem klienta zarząd firmy postanowił przeanalizować zaistniałą sytuację i w wyniku własnych ustaleń dotyczących handlowca zdecydował się na dalsze kroki – zlecenie firmie zajmującej się informatyką śledczą analizy komputerów, urządzeń PDA oraz telefonów komórkowych należących do zespołu. Efekty pracy specjalistów w pełni ukazały nieuczciwe działania pracowników i pozwoliły firmie na wyciągnięcie prawnych konsekwencji w stosunku do zaangażowanych w nie osób.

Dostarczenie elektronicznych środków dowodowych do trzech krajów jednocześnie

Eksperci największej firmy zajmującej się informatyką śledczą na świecie otrzymali zlecenie tzw. akwizycji danych, polegającej na skopiowaniu informacji elektronicznych w taki sposób, aby nie straciły one wartości dowodowej (narzędzia wykorzystywane przez informatyków śledczych pozwalają na zachowanie tzw. sumy kontrolnej; jej niezmieniona wartość gwarantuje brak ingerencji w zawartość zabezpieczanych plików elektronicznych). W tym samym czasie identyczną operację przeprowadzili specjaliści informatyki śledczej z tej samej firmy w Niemczech i we Francji. Zleceniodawcą był zarząd francuskiej firmy farmaceutycznej.

Powodem zatrudnienia elektronicznych detektywów było podejrzenie o malwersacje finansowe zarządu polskiego oddziału firmy, którego członkowie otworzyli firmę pośredniczącą w zakupach dla koncernu, oferując towary po cenach nierynkowych i powodując w ten sposób wymierne straty firmy.

Operacja zebrania materiałów dowodowych, przeprowadzana w każdym z trzech krajów tej samej nocy, odbyła się w obecności prawnika, notariusza i pracownika firmy ochrony. Informatycy śledczy skopiowali dane z każdego komputera w firmie oraz z urządzeń służących do archiwizacji firmowych danych. Każde z miejsc pracy zostało sfotografowane.

Dane z Niemiec i Polski trafiły następnie do Francji. Podobnie jak dane z siedziby głównej koncernu, zostały poddane analizie. Wynikało z niej, że przypuszczenie działania zarządu polskiego oddziału firmy na szkodę koncernu jest prawdziwe.

Po analizie wyników zarząd francuskiego koncernu zdecydował się na zmianę całego personelu polskiego oddziału (zarządu i pracowników). Nie wiadomo, czy członkom zarządu wytoczono procesy.

Kradzież i wykorzystanie danych przez konkurencję

Udostępnianie danych osobom, które tworzą określone projekty dla danej firmy, może niekiedy okazać się niezwykle ryzykowne. Doświadczyło tego jedno z największych biur projektowych, które na potrzeby realizacji jednego ze zleceń postanowiło podjąć współpracę z inną firmą. Miała ona wesprzeć działania biura i wraz z jego pracownikami utworzyć zespół zajmujący się projektem przez następne czternaście miesięcy.

Powołany zespół pracował w siedzibie biura projektowego (zleceniodawcy). Dzięki temu pracownicy firmy wspomagającej biuro mieli potencjalną szansę na bezprawny dostęp do wszelkich danych znajdujących się na komputerach ich zleceniodawcy.

W trakcie realizacji projektu pracownicy biura przypadkowo odkryli, iż na rynku pojawiły się produkty bazujące na rozwiązaniach technologicznych stworzonych przez nich samych. W tej sytuacji, obawiając się przecieku, przeprowadzono analizę komputerów pracowników, serwerów danych oraz przesyłanych dokumentów. Pozwoliło to na ustalenie źródła przecieku, którym okazał się zespół projektowy, a dokładnie jeden z pracowników firmy zatrudnionej przez biuro. Ustalono, że kilkakrotnie włamywał się on na serwery, gdzie przechowywane były dane pochodzące z innych projektów, po czym przesyłał je na serwery swej macierzystej firmy.

Odkrycie tych działań nie byłoby możliwe bez dokonanej przez specjalistów szczegółowej analizy komputerów biura projektowego i poprawnego zabezpieczenia elektronicznych środków dowodowych, które mogły być użyte w sądzie. Przypadek ten pokazuje zarazem, jak istotne jest zabezpieczenie danych firmy, których wykorzystanie może być w przyszłości przyczyną jej poważnych problemów.

Komputer wyrzucony z okna

Dane z odzysku mogą być i bywają dowodami przestępstw. Osoby, które łamią prawo, pilnie strzegą informacji mogących je pogrążyć.

Ponieważ wiele takich danych jest archiwizowanych na komputerach (często przenośnych), jedną z metod działania prowadzącego do oskarżenia przestępcy jest zgromadzenie elektronicznych dowodów łamania prawa, czyli danych zapisanych w formie elektronicznej.

Przestępcy najczęściej korzystają z komputerów przenośnych. Pozwala to im na ciągły nadzór nad ważnymi danymi.

W razie potrzeby jest też łatwiej pozbyć się notebooka niż setek lub tysięcy kartek papieru. Tak przynajmniej sądził ścigany przez policję przestępca, księgowy jednej z dużych grup przestępczych. Uciekając po schodach budynku, dotarł na dach i zrzucił z niego przenośny komputer z obciążającymi go danymi.

Ponieważ informacje te mogły być decydujące w śledztwie, do odzyskania danych zatrudniono firmę specjalizującą się w informatyce śledczej. Po upadku cały komputer był mocno zniszczony. Jednak z uszkodzonego dysku udało się odzyskać około siedmiu procent danych. Taka ilość informacji wystarczyła do obciążenia podejrzanego.

Elektroniczne dowody fałszerstw

Do firmy zajmującej się informatyką śledczą trafiło zgłoszenie przesłane przez prokuraturę prowadzącą śledztwo w sprawie fałszowania dokumentów.

Podczas przesłuchań trzy zatrzymane osoby posługujące się sfałszowanymi dokumentami przyznały się do winy. Jednocześnie okazało się, że współpracował z nimi informatyk, który przygotowywał kopie dokumentów tożsamości, zaświadczeń o zatrudnieniu i pieczątek – wszystko to w wersji elektronicznej.

Po zeznaniu prokuratura wydała nakaz aresztowania podejrzanego o fałszerstwo oraz nakazała zarekwirowanie sprzętu komputerowego, z użyciem którego dokonywano fałszerstw.

Na porę zatrzymania podejrzanego wybrano wieczór. W czasie interwencji funkcjonariuszy fałszerz dokumentów próbował zniszczyć komputer, uderzając nim o ziemię. Jego działania odniosły skutek, ponieważ dysk twardy, który znajdował się w jego laptopie, uległ uszkodzeniu fizycznemu – jego elementy mechaniczne zostały uszkodzone.

W takim przypadku jedynym możliwym sposobem odzyskania danych jest otwarcie nośnika w laboratoryjnych warunkach oraz wykorzystanie technologii umożliwiającej odtworzenie danych bezpośrednio z otwartego nośnika.

W przypadku fałszerza informatycy śledczy odzyskali 74 pliki zawierające wzorce spreparowanych dokumentów. Informacje te posłużyły jako materiał dowodowy w prowadzonym przez prokuraturę dochodzeniu.

Była pracownica oskarżona o przyczynienie się do upadku firmy

Pracownica jednej z katowickich firm założyła własną firmę podczas trwania stosunku pracy. Bankrutujący pracodawca obwinił ją o problemy swojej firmy, które miały być spowodowane tym, iż pracownica wykonywała w czasie pracy czynności związane z działalnością jej prywatnej firmy, zaniedbując obowiązki służbowe.

Pracownica twierdziła, że wszystkie czynności związane z funkcjonowaniem swojej firmy wykonywała po pracy. Jako dowód zleciła analizę operacji wykonywanych z użyciem komputera elektronicznym detektywom – informatykom śledczym, którzy przeanalizowali dane znajdujące się w komputerze pracownicy. Okazało się, że kobieta wykonywała wszystkie czynności związane z prowadzeniem własnej firmy po godzinach pracy. Pracodawca odstąpił od skierowania sprawy do sądu.

Paweł Odor
Autor jest głównym specjalistą polskiego oddziału Kroll Ontrack, największej i najdłużej działającej firmy zajmującej się informatyka śledczą i odzyskiwaniem danych na świecie.

Kroll Ontrack

Zabezpieczenia 4/2010

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony