Digitaalne kriminalistika. Üsna tõenäoliselt kujutate endale ette stseeni mõnest krimiseriaalist ega mõtle siinkohal küberturvalisusele. Kuigi digitaalse kriminalistika juured on kriminalistikas, kujutab see endast olulist komponenti küberturvalisuse tagamisel. Ent kui oluline on see teie jaoks?
Digitaalne kriminalistika tähendab elektrooniliste andmete tuvastamist ja tõlgendamist. Techopedia andmetel “on selle protsessi eesmärgiks säilitada kõik asitõendid nende kõige algsemal kujul, viies samal ajal läbi strukturiseeritud uuringud, kogudes, identifitseerides ja valideerides informatsiooni eesmärgiga rekonstrueerida minevikus aset leidnud sündmusi.”
Lühiajalugu
Peale arvutikuritegevuse tekkimist 1970ndatel–1980ndatel aastatel, hakkati kogu maailmas vastu võtma seadusi ja rakendama erinevaid meetodeid, millega selle probleemi vastu võidelda. Väidetavalt võeti Kanadas esimesena vastu seadus, mis hõlmas arvutikuritegevust. Aastate möödudes arenes tehnoloogia tohutu kiirusega. Peagi muutus arvutikuritegevusega toimetuleku protsesside leidmise vajadus äärmiselt oluliseks.
2000ndate alguses olid erinevad valitsusasutused ja organisatsioonid vlja andnud juhiseid digitaalse kriminalistika läbiviimiseks. 2002. aastal esitas digitaalse tõendusmaterjali teaduslik töörühm dokumendi pealkirjaga “Parimad praktikad arvutiekspertiisis”. 2004. aastal jõustus 43 riigi allkirjastatud oluline rahvusvaheline leping – küberkuritegevuse konventsioon. Aasta hiljem avaldati ISO 17025 – üldised nõuded katse- ja kalibreerimislaborite pädevusele.
Plahvatuslikult kasvav tehnoloogia tähendab, et areneb ka digitaalne kriminalistika. Eriti ettevõtete jaoks, kuna enamik tugineb oma igapäevases tegevuses tehnoloogiale.
Digitaalse kriminalistika protsess
Digitaalne kriminalistika koosneb põhimõtteliselt viiest etapist. Esimene on identifitseerimine. Selles staadiumis identifitseeritakse tõendusmaterjali potentsiaalsed allikad. Nende hulka kuuluvad nii seadmed kui andmete võtmehoidjad ja nende asukoht. Teine etapp on säilitamine. Asjakohast elektrooniliselt salvestatud teavet (ESI) kaitstakse konkreetse paiga visuaalsete piltide jäädvustamisega. Lisaks dokumenteeritakse asjassepuutuv info koos andmetega selle omandamise kohta.
Järgmises, kogumise staadiumis, kogutakse potentsiaalselt asjassepuutuvat informatsiooni. Vahel võib see tähendada elektrooniliste seadmete eemaldamist, teatud tüüpi andmetest kujutiste tegemist, jne. Sellele järgneb analüüs. See on põhjalik ja süsteemne protsess. Mõte seisneb olemasolevate tõendite põhjal järelduste tegemises.
Viimaks jõuab kätte aruandluse osa. Ideaalis, kui järgitakse õiget protseduuri ja metoodikat, peaksid teised pädevad kohtuekspertiisi spetsialistid suutma jõuda samade järeldusteni.
Asitõendite käsitlemine
Kohtuekspertiisi analüüsi omandamise ja käitlemise osas on digitaalsete tõendite teaduslik töörühm ja Riiklik Õigusinstituut välja töötanud parimad praktikad. On oluline, et protseduuri tõendite kogumise osa viiakse läbi ülima hoolikusega. Sel lihtsal põhjusel, et sellest sõltuvad suuresti hiljem järgnevad juriidilised küsimused. Seetõttu:
- Tõendite kogumisel tuleks järgida korrektset protokolli. Seda sõltumata sellest, kas tõendid on digitaalsed või füüsilised.
- Teatud olukorrad võivad vajada erikohtlemist. Näiteks olukord, kus seadme rikkumine võib kahjustada olulisi andmeid.
- Kõik füüsilised ja/või digitaalsed esemed tuleks koguda, säilitada ja üle kanda säilitusahela kaudu.
- Kõigil materjalidel peaks fikseerima kuupäeva ja kellaaja. See hõlmab ka tõendite kogumist ja asukohta, kuhu need pärast esialgset kogumist viidi.
- Kogu valduse üleminekuprotsessi käigus tuleks logisid kogu aeg säilitada.
- Tõendite säilitamise osas tuleks kehtestada nõuetekohane juurdepääsu kontroll. Lisaks tuleks neid juurdepääsukontrolli põhimõtteid jälgida ka tagamaks, et tõenditele oleks juurdepääs ainult autoriseeritud isikutel.
Analüüs
Sarnaselt füüsiliste asitõenditega võib ka digitaalne tõend saastuda. Tavaliselt teeb andmetest kujutise kohtuekspert. Teisisõnu – tegemist on algsete andmete täpse koopiaga. Seda tehakse nii, et algseid andmeid ei kasutataks analüüsiprotsessis.
Kujutis luuakse kas tarkvara või riistvara abil. Pärast seda järgneb andmete analüüsimine. Jätkates tuleb arvestada paljude kaalutlustega. Mõned neist hõlmavad selliseid aspekte nagu krüptimine, metaandmed ja/või kustutatud failid jne.
Krüpteerimine
Kui kõnesolevad andmed on krüptitud, on nende dekrüpteerimiseks kaks võimalust. Üks viis dekrüpteerida on seadme omaniku võtme kaudu. Muidugi toimib see ainult siis, kui krüptimine toimus seadme omanike kaudu. Teise võimalusena tuleb kohtueksperdil uurida muid krüpteerimismehhanisme.
Metaandmed
Metaandmed võivad teatud digitaalse üksuse või andmete kohta anda palju teavet. Näiteks võivad foto metaandmed paljastada sellist teavet nagu foto tegemiseks kasutatud kaamera mark ja mudel. Metaandmed võimaldavad kõnealustest andmetest paremat ülevaadet saada.
Kustutatud failid
Mõnikord on uurimise jätkamiseks vaja kustutatud failid taastada. Ideaalis on kustutatud failide taastamine täiesti võimalik, kui salvestusruumi, mida varem andmete salvestamiseks kasutati, pole üle kirjutatud.
Digitaalse kriminalistika liigid
Nagu kõik tehnoloogiaalad, on ka digitaalne kriminalistika pidevalt arenev valdkond. Digitaalse kohtuekspertiisi alamkategooriaid on aga vähe. Kõik need keskenduvad tavaliselt tehnoloogiatööstuse erinevatele aspektidele.
Arvutikriminalistika
See viitab arvutites, sülearvutite salvestuskandjatel jne leiduvatele digitaalsetele tõenditele, mis toetavad uurimist ja kohtumenetlust.
Võrgukriminalistika
Võrgutegevuse või sündmuste jälgimine, jäädvustamine, salvestamine ja / või analüüs. Eesmärk on tuvastada sissetungide, rünnakute või muude sarnaste probleemsete juhtumite allikad.
Mobiilseadmete kriminalistika
Nagu nimest järeldada võib, viitab see elektrooniliste tõendite kogumisele mobiiltelefonide, tahvelarvutite, SIM-kaartide või isegi mängukonsoolide kaudu.
Digitaalsete kujutiste kriminalistika
Kinnitatakse digitaalselt omandatud fotokujutiste autentsus. Metaandmed abistavad antud juhul uurijat.
Digitaalse audio/video kriminalistika
See on heli ja/või video vormis tõendite kogumine ja analüüs. Siinkohal on oluline kontrollida, kas konkreetset heli- või videosalvestist on rikutud või säilis see algses olekus.
Mälu kriminalistika
Protsess, mida nimetatakse ka reaalajas kohtuekspertiisiks, hõlmab tõendite kogumist töötava arvuti RAM-ist.
Kriminalistika ettevõtte valimine
Sageli otsivad advokaadibürood ja muud asjassepuutuvad osapooled sobivat ettevõtet, kes tegeleks digitaalse kohtuekspertiisiga. Kuigi konkreetse ettevõtte valimine sõltub mitmest tegurist, võiksid mõned olulised punktid olla järgmised:
- Vajalikud teadmised. Kriminalistikategevus võib vajaliku tehnilise ulatuse osas varieeruda. Erinevad ettevõtted pakuvad eri tasemel digitaalse kriminalistika teenuseid.
- Hinnakujundus, kindel tasu juhtumi kohta.
- Aeg ja materjalid.
- Kuidas järgib kriminalistikaettevõte juhiseid ja protokollireegleid.
- Milline on kriminalistikaettevõtte töötajate oskuste tase võrdluses nende poolt pakutavate teenustega.
Küberturvalisuse küsimusega tegelemisel pole digitaalne kriminalistika midagi sellist, mis esmajoones pähe tuleks. Ühe uuringu andmetel võivad küberkuritegevuse kahjud aastaks 2021 ulatuda 5,4 triljoni euroni. Tegelik summa võib aja jooksul ilmselt muutuda. Kuid see näitab digitaalse kriminalistika olulisust ja selle määravat rolli globaalses mastaabis.