Zasada Locarda a gruszki na wierzbie
Data: 9 sierpnia 2013 | Autor: Mikołaj Rutkowski | Brak komentarzy »
Przegląd oferty rodzimych firm działających w obszarze zarządzania ryzykiem nadużyć i śledztw gospodarczych przypomina nieco włączenie kanału zakupowego w telewizji. Pełen zakres usług, wyjaśnianie i odkrywanie wszystkiego, dostęp do informacji poufnych i prywatnych, ujawnienie majątku sprawcy ukrytego za granicą itd. Oczywiście jest to „tylko” reklama, przy czym nie można oprzeć się wrażeniu, że w tym momencie pewna granica została przekroczona. Co innego stanowi określenie zakresu oferowanych działań, a co innego twierdzenie, że działania te będą w każdym przypadku skuteczne.
Nie jest to oczywiście regułą, aczkolwiek wystarczy przeklikanie się przez kilkanaście odnośników oferowanych przez Google, aby odnieść wrażenie, że znaleźliśmy się w krainie wiecznego szczęścia. Fakt, że do audytu dochodzeniowego szybko przyłączono wykorzystywaną w kryminalistyce zasadę Locarda nie oznacza, że jej obowiązywanie jest bezkrytyczne i nie obwarowane żadnymi zastrzeżeniami.
Czym jest zasada Locarda? Sformułowana ponad pół wieku temu przez francuskiego kryminologa Edmonda Locarda inaczej zwana jest także „prawem wzajemnej wymiany śladów”. W skrócie stanowi ona, iż kiedy dwa dowolne obiekty wchodzą między sobą w kontakt, między nimi następuje wzajemna wymiana śladów, które mogą być przydatne w analizie kryminalistycznej. Nie inaczej jest w przypadku przestępczości gospodarczej, chociaż osobiście uważam, że trzeba ją nieco rozszerzyć – popełnienie i ukrycie czynu zabronionego lub przynajmniej nieetycznego pozostawia ślady zarówno w środowisku, w którym działał „zawodowo” sprawca, jak i w jego otoczeniu prywatnym. Nie oznacza to oczywiście, że do popularnych „fraudów” nie ma zastosowania klasyczna zasada Locarda, ale mimo wszystko wygodniej jest operować pojęciami „środowisko” i „otoczenie”.
Dlaczego opisuję problem nie do końca uczciwej reklamy? Dlatego że jest ona szkodliwa dla całej profesji audytorów śledczych, do której się zaliczam. Poszkodowana osoba lub firma, która ucieknie się do pomocy specjalisty obiecującego gruszki na wierzbie, nie wróci już ani do niego, ani do żadnego innego reprezentanta tego środowiska. Niestety nadal w tym zawodzie często pokutuje zasada, którą z angielska można określić jako „hook and run„. Opiera się ona na przeświadczeniu, że przypadki nadużyć się rzadkie, a często nawet jednorazowe. Najlepiej więc zwabić klienta i dostać wynagrodzenie za pracę niekoniecznie styczną z wcześniejszymi obietnicami, jako że należyte jej wykonanie i tak nie będzie oznaczało, że klient jeszcze wróci – właśnie ze względu na rzekomą „rzadkość” nadużyć. Mam jednak nadzieję, że lektura Fraud IQ sprzyja eliminowaniu przekonania o egzotyczności problemu przestępczości gospodarczej w firmach.
Wydaje się, że problem ten jest najbardziej nasilony w obszarze informatyki śledczej. Wynika to najprawdopodobniej z tego, że techniczna strona komputerów nadal dla wielu osób stanowi tajemnicę, której bynajmniej nie mają zamiaru (ani potrzeby) zgłębiać. O ile zatem przy „standardowych” przejawach nadużycia dociera do nich, że dokumenty mogą zostać zniszczone lub podrobione, świadkowie mogą kłamać, współsprawcy mogli zostać oszukani lub zastraszeni itd., to w przypadku komputerów zdają się oni na opinię specjalistów. Dodatkowo media straszące nas coraz bardziej ilością informacji, jakie pozostają po naszej interakcji z jakąkolwiek maszyną tylko nieco bardziej skomplikowaną niż kalkulator, przyczyniają się do tego, że komputerowi laicy są w stanie uwierzyć, że każdy nośnik danych zawiera informacje i dane pozwalające skazać nie tylko samego sprawcę nadużycia, ale także jego rodzinę do piątego pokolenia do przodu… Cóż, zdarza się i tak, ale zdecydowanie nie można tego przyjmować za depositum fidei.
Odwołując się ponownie do najpopularniejszej wyszukiwarki świata, po wpisaniu w niej hasła „informatyka śledcza” zostajemy przytłoczeni przez strony nie oferujące w zasadzie nic poza odzyskiwaniem danych. Fakt, jest to element informatyki śledczej, ale tylko i wyłącznie element. Nawet jeśli taka firma oferuje również analizę odzyskanych danych, pytaniem pozostaje, czy przeprowadza także analizę śledczą systemu operacyjnego oraz wykorzystywanych aplikacji. O klasie informatyka śledczego świadczą bowiem nie tylko jego kompetencje w zakresie identyfikacji, pozyskania i zabezpieczenia danych, ale także (a może przede wszystkim) w zakresie ich przeanalizowania, wzajemnego połączenia i powiązania z hipotezą śledczą, a wreszcie takiego ich przedstawienia, żeby przywołany wcześniej laik był w stanie zrozumieć, co one oznaczają.
Nie zagłębiając się zbytnio w ten temat, pozwolę sobie jedynie przytoczyć listę podstawowych czynników, jakie wpływają na to, co z wykorzystywanego w analizie śledczej nośnika danych można „wyciągnąć”. Lista ta z pewnością nie jest kompletna, ale obrazuje skalę niepewności, z jaką przychodzi się zmierzyć praktycznie w każdym przypadku wykorzystywania technik informatyki śledczej w postępowaniu wyjaśniającym.
- zakres faktycznych działań użytkownika na konkretnym komputerze będącym przedmiotem badania,
- uprawnienia użytkownika w systemie oraz ograniczenia narzucane przez zasady grupowe (Group Policy), wbudowane narzędzia (np. AppLocker) oraz zainstalowane narzędzia – dotyczące zarówno uruchamiania konkretnych aplikacji (np. RegEdit), jak i dostępu do zdefiniowanych elementów systemu (np. katalogi inne niż Pulpit i Moje dokumenty),
- możliwości wykorzystywania własnych urządzeń podłączanych do firmowej sieci (polityka BYOD – Bring Your Own Device),
- możliwości podłączania przez użytkowników innych urządzeń zewnętrznych, w szczególności nośników danych,
- potencjalne ograniczenia w korzystania z internetu,
- wykorzystywane narzędzia szyfrujące (całe dyski, pojedyncze pliki, kontenery),
- znajomość systemu operacyjnego, wykorzystywanych aplikacji i środowiska sieciowego oraz kompetencje informatyczne użytkownika,
- świadomość użytkownika w zakresie śladów pozostawianych w systemie,
- determinacja użytkownika w zakresie usuwania artefaktów systemowych oraz skuteczność wykorzystywanych do tego metod i narzędzi,
- możliwość współdziałania z osobami posiadającymi odpowiednie uprawnienia do usunięcia / modyfikacji śladów działalności użytkownika w systemie,
- zakres i częstotliwość wykonywania kopii zapasowych,
- zakres i dostępność danych z dzienników, logów i innych baz danych, zawierających informacje świadczące o sposobie wykorzystywania analizowanego komputera (sławna odpowiedź administratorów IT, z jaką się spotykamy, to „wyłączyłem logowanie, bo system się mulił”),
- działania osób niewykwalifikowanych podejmowane przed przekazaniem komputera / nośnika informatykowi śledczemu,
- postępowanie z zabezpieczonym materiałem do analizy,
- umiejętności samego informatyka śledczego (tak w zakresie systemu operacyjnego, jak i konkretnych aplikacji) oraz narzędzia, jakimi dysponuje („komercyjny” nie jest tożsame z „lepszy”),
- dobrze zdefiniowany cel analizy danych (określenie „proszę znaleźć wszystko, co jest podejrzane” z pewnością nie spełnia tego warunku, aczkolwiek jest wykonalne),
- znajomość charakteru sprawy i pozostałego materiału dowodowego przez informatyka prowadzącego analizę.
Listę o identycznym charakterze można sporządzić także dla postępowań wyjaśniających, jakie nie niosą za sobą konieczności analizy danych z systemów informatycznych (aczkolwiek takie postępowania stają się powoli niemal tak rzadkie, jak dinozaury). Czy zatem potencjalny klient uzbrojony w taki zestaw czynników będzie skłonny dalej bezkrytycznie wierzyć w obiecywane mu cuda? Mam nadzieję, że nie.
P.S. Spodziewając się, że powyższy post może wywołać niepochlebne komentarze w środowisku audytorów śledczych, spieszę z wyjaśnieniem, że jego celem nie jest zdyskredytowanie kogokolwiek, a jedynie rzetelne przedstawienie stopnia niepewności występującego w każdym śledztwie gospodarczym. Nawet najgorsza prawda okazuje się de facto lepsza od snucia wizji przypominających dawne reklamy OFE.
Skomentuj wpis
Musisz być zalogowany/a, żeby zamieszczać komentarze.