Dla dobra śledztwa

Ściganie cyberprzestępstw opiera się na ścisłej współpracy pomiędzy organami ścigania a sektorem IT. W przeciwnym wypadku większość elektronicznych dowodów nie byłaby możliwa do pozyskania i zanalizowania na etapie postępowania karnego.

Ściganie cyberprzestępstw opiera się na ścisłej współpracy pomiędzy organami ścigania a sektorem IT. W przeciwnym wypadku większość elektronicznych dowodów nie byłaby możliwa do pozyskania i zanalizowania na etapie postępowania karnego.

Modelowo można wyróżnić dwie sytuacje. Pierwsza to przekazywanie danych przez firmę, która padła ofiarą nadużyć elektronicznych. Druga dotyczy zaś kooperacji z organami ścigania podmiotów, które jedynie pośrednio zaangażowane są w przedmiot postępowania karnego. Chodzi głównie o różnych usługodawców.

Samodzielne zabezpieczanie śladów

Rola organów ścigania rozpoczyna się od sygnału o karalnym nadużyciu. Zawiadomienie o popełnieniu przestępstwa powinno obejmować najbardziej charakterystyczne elementy nadużycia, tak aby na wstępnym etapie można było zidentyfikować, które z przepisów karnych zostały naruszone. Jest to o tyle istotne, że wiele z e-przestępstw (np. hacking, podsłuch komputerowy) jest ściganych jedynie na wniosek pokrzywdzonego.

Z natury rzeczy popełnienie przestępstwa w środowisku elektronicznym implikuje konieczność niezwłocznego zabezpieczenia śladów w systemie. Kłóci się z tym model postępowania przygotowawczego w polskiej procedurze karnej, zakładający 30-dniowy termin dla wykonania tzw. czynności sprawdzających. Chodzi o sprawdzenie zawiadomienia o popełnieniu przestępstwa pod kątem podstaw do wszczęcia dochodzenia bądź śledztwa. Biorąc pod uwagę dynamikę przetwarzania e-informacji, po upływie wspomnianego terminu często nie będzie już co zabezpieczać.

Etap wstępnego utrwalenia stanu systemu komputerowego, w którym doszło do nadużycia, obciąża więc pokrzywdzoną firmę. Zdarza się, że pokrzywdzeni uważają, iż kwestie dowodowe "załatwi" wydruk ustawień systemowych bądź logów. Nic bardziej mylnego. Informacje, które nie zostały zabezpieczone w sposób zgodny z przepisami procedury karnej, mają relatywnie niską wartość dowodową. Nie sposób, chociażby, oddalić zarzutów, iż wydruk został spreparowany bądź nie zawiera niektórych sekwencji danych.

Żądanie wydania danych

Najbardziej powszechną metodą współpracy z organami ścigania jest przekazywanie informacji niezbędnych dla toczącej się sprawy. Firma przekazująca dane nie zna szczegółów postępowania karnego. Z kolei zakres żądanych danych bywa określany ogólnikowo, np. "wszelkie dane związane z X", co zmusza do generowania szeregu, czasem niepotrzebnych, zestawień. Z drugiej strony, organa ścigania muszą zdawać sobie sprawę z tego, iż specyfika cyberprzestępstw wymaga pozyskiwania danych od wielu podmiotów. Mobilność usług internetowych sprawia, że korzystający z nich może łączyć się z różnych adresów IP.

Jeśli chodzi o sposób przekazania danych, to w zasadzie mamy do czynienia ze swobodą podmiotu IT. W praktyce organa ścigania nie precyzują z reguły formy, w jakiej pozyskają dane. W grę wchodzi więc bądź to wydruk, bądź naniesienie danych na nośniki CD i DVD. Drugi ze wspomnianych sposobów, biorąc pod uwagę cele postępowania przygotowawczego, a także możliwość tego, iż posiadanie żądanych danych jest sprzeczne z prawem, byłby bardziej pożądany. Jest to także forma bardziej przejrzysta dla celów analizowania danych przez organa ścigania.

Wyizolowanie danych z systemu jest niejednokrotnie powiązane z koniecznością pozyskaniaprzez prowadzącego postępowanie karne informacji o jego ogólnej strukturze. Pojawia się więc pytanie, jak pogodzić żądanie wydania "rzeczy" - danych zapisanych w systemie komputerowym - z koniecznością normalnego funkcjonowania firmy IT. Dylemat nie należy do teoretycznych, bo nawet tymczasowe zajęcie twardych dysków przedsiębiorcy może nieść ze sobą katastrofalne z biznesowego punktu widzenia konsekwencje. Dlatego więc najbardziej pożądane jest ograniczanie się do umożliwiania sporządzania "klonów" zapisów z twardych dysków. W przypadku, gdy byłoby to niemożliwe, firma może zwrócić się o skopiowanie wskazanych danych z zatrzymanych nośników.

Innym, ważkim instrumentem procedury karnej staje się zabezpieczenie danych [data preservation]. Pozwala ona na żądanie zabezpieczenia przez podmiot IT danych na okres do 90 dni. Czas ten musi być zakreślony w postanowieniu prokuratora lub sądu. Chodzić może o dane przechowywane na konkretnych nośnikach lub w systemie komputerowym - muszą być one jednak dostępne już w chwili kierowania decyzji do firmy IT.

Odszyfrowanie danych

Odrębnym zagadnieniem jest pozyskiwanie haseł dostępu na potrzeby procesu karnego. Osoba podejrzana nie jest zobowiązana do ich przekazania organom ścigania, w myśl zasady, iż nikt nie ma obowiązku dostarczania dowodów na swoją niekorzyść. Nie musi także wskazywać np. na sposób zastosowanych przez siebie zabezpieczeń kryptograficznych.

Diametralnie odmienna jest sytuacja świadczących usługi sieciowe, którzy z racji wykonywanej działalności mogą być dysponentami haseł poszczególnych użytkowników. Wystąpienie przez prokuratora z żądaniem przekazania danych dotyczących np. numerów IP oraz innych danych powiązanych ze świadczeniem usługi, może obejmować także hasła dostępu. Nie jest wykluczone także żądanie od operatora IT przekazania danych przekazywanych przez użytkownika, które zostały zaszyfrowane na etapie świadczenia usługi.

Udział w przeszukaniu systemu komputerowego

Kooperacja firmy IT może przejawiać się także udziałem informatyków podczas czynności procesowych. Jest to oczywiste przy dokonywaniu przeszukania firmy bądź zabezpieczaniu sprzętu komputerowego. Chodzi o potrzebę zagwarantowania praw podmiotu, którego dotyczy przeszukanie. Najistotniejsze jest wyłączenie możliwości ingerencji w zatrzymywane dane, nadpisania nowych informacji. Także w tym wypadku w grę wchodzi zakaz samooskarżania się, a więc osoba potencjalnie typowana na sprawcę przestępstwa nie musi współdziałać z dokonującymi czynności procesowych.

Dla celów gromadzenia danych o cyberprzestępstwie nie jest możliwe dokonanie przeszukania rozszerzonego na systemy komputerowe, z którym połączony jest system znajdujący się w przeszukiwanych pomieszczeniach. Prawu polskiemu obce jest tego rodzaju poszerzone przeszukanie.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200