FORENZIKA · ZAVAROVANJE · ANALIZA · INTERPRETACIJA

Digitalna forenzika

Forenzično zavarovanje, analiza in interpretacija digitalnih dokazov za sodne, upravne in notranje preiskave. Pripravljamo poročila skladno z mednarodnimi standardi ISO/IEC 27037, ISO/IEC 27041, ISO/IEC 27042, ISO/IEC 27043 in ENFSI smernicami.

Izvajamo forenzično zavarovanje, analizo in interpretacijo digitalnih dokazov za sodne postopke, upravne in prekrškovne preiskave ter notranje preiskave organizacij. Sledimo mednarodnim standardom ISO/IEC 27037, ISO/IEC 27041, ISO/IEC 27042 in ISO/IEC 27043 ter ENFSI smernicam za forenzične preiskave.

Kdaj je digitalna forenzika smiselna

Digitalna forenzika je usmerjena v konkreten dogodek, sum ali spor. Naročniki se za forenzično preiskavo med drugim odločijo v naslednjih okoliščinah:

Varnostni incidenti

Vdor v informacijski sistem, neavtoriziran dostop do podatkov, izsiljevalska programska oprema, sabotaža sistema. Forenzika rekonstruira potek incidenta, identificira obseg incidenta in v določenih primerih izsledi izvor napada.

Sum kaznivega dejanja v okolju informacijskega sistema

Goljufija, kraja poslovnih skrivnosti, neavtorizirano kopiranje podatkov, kibernetski kriminal, sum zlorabe položaja zaposlenega, kraja intelektualne lastnine, kršitev avtorskih pravic. Forenzika zagotovi digitalne dokaze, ki so podlaga za nadaljnji postopek.

Civilni in gospodarski spori

Spor med poslovnima partnerjema, kjer so digitalni dokumenti, elektronska pošta in druge vrste elektronske komunikacije ali poslovne zbirke podatkov ključni dokazi. Forenzika zavaruje dokaze in pripravi poročilo.

Delovnopravni spori

Sum zlorabe delovnih sredstev, kršitev poslovnih skrivnosti, neavtorizirana komunikacija s konkurenco. Forenzika podpre kadrovski postopek z zavarovanjem dokazov in po potrebi ugotovitvami digitalne forenzične analize.

Notranje preiskave organizacij

Sum nepravilnosti, ki še ni prerasel v formalni sodni postopek, vendar zahteva strokovno utemeljene ugotovitve za odločitev poslovodstva ali nadzornega organa. Poslovodstvu daje dodatne informacije, da se lahko utemeljeno odloči ali mora v preiskavo vključiti organe pregona ali sprožiti disciplinske, odškodninske ali druge postopke.

Pregled in interpretacija obstoječih digitalnih dokazov

Stranka že ima zavarovane dokaze (npr. zavarovani podatki mobilnega telefona, izvoz podatkov), potrebuje pa strokovno analizo in razlago.

V vseh teh primerih je ključna pravočasnost. Digitalni dokazi se s časom izgubljajo — sistemi prepisujejo dnevniške zapise, datoteke se izbrišejo, mobilne naprave prejmejo posodobitve, ki spremenijo strukturo podatkov. Pravočasno forenzično zavarovanje podatkov poveča možnost ohranitve relevantnih dokazov.

Naš pristop in metodologija

Forenzično delo izvajamo skladno z mednarodnimi standardi družine ISO/IEC 27037–27043, ki opredeljujejo posamezne faze forenzičnega procesa:

  • ISO/IEC 27037 — smernice za identifikacijo, zbiranje, pridobitev in ohranitev digitalnih dokazov.
  • ISO/IEC 27041 — smernice za zagotavljanje primernosti in ustreznosti preiskovalnih metod.
  • ISO/IEC 27042 — smernice za analizo in interpretacijo digitalnih dokazov.
  • ISO/IEC 27043 — smernice za preiskovalne procese.

Pri delu uporabljamo tudi ENFSI smernice (European Network of Forensic Science Institutes), ki opredeljujejo dobre prakse forenzičnega dela in zagotavljajo metodološko usklajenost z evropsko forenzično stroko.

Forenzično preiskavo izvedemo v štirih fazah:

Identifikacija in priprava

Z naročnikom uskladimo obseg preiskave, pravni okvir, časovnico in pričakovane izhode. Identificiramo digitalne vire, ki so lahko nosilci dokazov: delovne postaje, prenosne računalnike, strežnike, mobilne naprave, omrežno opremo, oblačne storitve, varnostne kopije, dnevniške zapise. Pripravimo načrt zavarovanja, ki upošteva tehnično izvedljivost in pravno dopustnost.

Zavarovanje digitalnih dokazov

Izvedemo forenzično zavarovanje digitalnih nosilci s tehnikami, ki ohranijo integriteto izvirnika. Pri vsakem zavarovanju izračunamo kriptografske kontrolne vsote (običajno SHA-256), ki dokazujejo, da se zajeti podatki ne morejo več neopazno spremeniti. Pripravimo formalni zapisnik o zavarovanju podatkov, ki dokumentira napravo, postopek, uporabljeno orodje, čas zavarovanja in vpletene osebe. S tem vzpostavimo začetek verige skrbništva.

Analiza

Analizo izvedemo izključno na delovnih kopijah zavarovanih dokazov, nikoli na izvirnikih. Tako se izvirno stanje ohrani v primeru, da je dokaz pozneje potreben za ponovno analizo ali za sodne postopke. Analiza zajema iskanje konkretnih informacij (npr. dokumenti, e-pošta, brisane datoteke, sledi uporabe), korelacijo med viri, interpretacijo metapodatkov in rekonstrukcijo zaporedja dogodkov. Pri vsaki ugotovitvi dokumentiramo, kateri dokaz jo podpira.

Interpretacija in poročanje

Pripravimo forenzično poročilo, v katerem so strukturirano predstavljene metoda dela, popis zavarovanih dokazov z njihovimi kontrolnimi vsotami, ugotovitve in strokovna razlaga. Poročilo je oblikovano tako, da je razumljivo pravnim zastopnikom in odločevalcem, hkrati pa vsebuje dovolj tehničnih podrobnosti, da omogoča neodvisno preverbo. Pri sodnih postopkih poročilo izpolnjuje zahteve, ki jih za izvedenska mnenja določa ZSodIzv.

Kadar konkretno opravilo zahteva specializirano laboratorijsko opremo, posebno programsko opremo ali nišne kompetence, sodelujemo s preverjenimi podizvajalci. Tudi v tem primeru ohranjamo strokovni nadzor nad obsegom dela, skladnostjo s standardi in interpretacijo ugotovitev. Forenzično poročilo pripravljamo sami in prevzemamo strokovno odgovornost zanj.

Področja forenzične analize

Forenzika obsega široko paleto tehničnih opravil. Tipična področja, ki jih pokrivamo:

Forenzično zavarovanje digitalnih nosilci
Zavarovanje trdih diskov, SSD in NVMe pogonov, USB ključkov, optičnih medijev in drugih nosilci z uporabo namenske forenzične opreme. Izračun kontrolnih vsot, vzpostavitev verige skrbništva, priprava zapisnika.
Forenzična analiza mobilnih naprav
Zajem in analiza podatkov iz pametnih telefonov in tablic. Pridobivanje sporočil, dnevnikov klicev, kontaktov, fotografij, lokacijskih podatkov in podatkov iz nameščenih aplikacij. Tehnično zahtevnejši zajemi (chip-off, JTAG, ISP) se izvajajo v sodelovanju s preverjenimi podizvajalci.
Forenzična analiza pomnilnika in tekočih procesov
Zajem pomnilnika na živih sistemih in analiza vsebine: aktivni procesi, omrežne povezave, kriptografski ključi v pomnilniku, ostanki gesel, škodljive kode. Posebno pomembno pri preiskavah izsiljevalskih napadov in incidentov, povezanih s škodljivo kodo.
Forenzična analiza omrežnega prometa
Zajem in analiza omrežnega prometa, analiza dnevnikov požarnih zidov, vstopnih in izstopnih točk, posredniških strežnikov ter IDS/IPS sistemov. Rekonstrukcija komunikacije in identifikacija prenesenih podatkov.
Forenzična analiza dokumentov in datotek
Analiza metapodatkov dokumentov (avtor, čas nastanka, čas zadnje spremembe, urejevalna zgodovina), preverjanje pristnosti datotek, identifikacija manipulacij, primerjave različic dokumentov, analiza skritih ali izbrisanih vsebin.
Forenzika oblaka in oddaljenih storitev
Zajem in analiza podatkov iz storitev oblaka (Google Workspace, Microsoft 365, drugi SaaS sistemi), pri čemer upoštevamo specifične izzive: pravna razmerja s ponudnikom, jurisdikcija, raznolikost dostopnih mehanizmov, časovni okvir hranjenja podatkov pri ponudniku.
Forenzika elektronske pošte
Analiza elektronske pošte, vključno z glavami sporočil, sledjo prenosa med strežniki, preverjanje avtentičnosti, identifikacija ponaredkov, rekonstrukcija izbrisane korespondence in analiza priponk.
Interpretacija forenzičnih ugotovitev
Kontekstualna razlaga tehničnih ugotovitev v obliki, ki je razumljiva pravnim zastopnikom, sodiščem in odločevalcem. Priprava povzetka za sodno obravnavo, odgovori na vprašanja sodišča, dopolnitve poročila po potrebi.

Obseg konkretne forenzične preiskave določimo v predhodnem usklajevanju z naročnikom, na podlagi pravnega okvira, sumljivih dogodkov in razpoložljivosti virov dokazov.

Rezultati forenzične preiskave

Glavni rezultat forenzične preiskave je forenzično poročilo. Poročilo strukturiramo tako, da je razumljivo različnim ciljnim publikam — pravnim zastopnikom, sodišču, naročniku in po potrebi tudi drugemu neodvisnemu strokovnjaku za drugo mnenje.

Pri sodnih postopkih poročilo izpolnjuje zahteve, ki jih za izvedenska mnenja določa Zakon o sodnih izvedencih, sodnih cenilcih in sodnih tolmačih. Pripravimo tudi povzetek za odločevalce, primeren za predstavitev pravnemu zastopniku, poslovodstvu ali nadzornemu organu.

Pri naročilih izven sodnega okvira (notranje preiskave, predpravdne pripravljalne poizvedbe) prilagodimo obliko poročila glede na potrebe naročnika, vendar ohranimo strokovno doslednost in sledljivost.

Kvalifikacije in neodvisnost

Strokovne kvalifikacije

Forenzično delo izvajajo strokovnjaki z dolgoletno prakso na področju digitalnih dokazov in naslednjimi kvalifikacijami:

aPRIS
Aktivni preizkušeni revizor informacijskih sistemov — naziv Slovenskega inštituta za revizijo, ki dopolnjuje forenzično delo s strogo metodološko podlago in poznavanjem informacijskih kontrol.
CISA
Certified Information Systems Auditor — mednarodni naziv ISACA, ki zagotavlja poznavanje mednarodno priznanih standardov in praks pri delu z informacijskimi sistemi.
Stalno strokovno izpopolnjevanje
Forenzično področje se hitro razvija — nove vrste nosilci, nove oblačne storitve, nove tehnike obrambe in napadov. Vzdržujemo aktivno spremljanje strokovne literature, sodelovanje v profesionalnih mrežah in redno izobraževanje na specifičnih forenzičnih platformah.

Pri delu se opiramo tudi na mednarodne smernice (ENFSI, NIST, ACPO) in mednarodne standarde (ISO/IEC 27037–27043), ki opredeljujejo metodološki okvir, znotraj katerega delujemo.

Neodvisnost in nepristranskost

Neodvisnost forenzika je predpogoj za to, da imajo njegove ugotovitve dokazno vrednost. Pred vsakim naročilom presodimo, ali obstajajo okoliščine, ki bi lahko vplivale na nepristranskost — pretekli poslovni odnosi z naročnikom ali nasprotno stranjo, sorodstvene ali osebne vezi, finančni interesi, sodelovanje pri zasnovi obravnavanih informacijskih sistemov. Če take okoliščine obstajajo, jih razkrijemo in po potrebi naročilo zavrnemo.

Med preiskavo se izogibamo vsemu, kar bi lahko ogrozilo nepristranskost ugotovitev. Ugotovitve dokumentiramo tako, da jih lahko neodvisno preveri tudi tretja oseba — drug forenzični strokovnjak, sodišče ali nasprotna stran v postopku. Pri sodnih postopkih spoštujemo procesna pravila, ki omogočajo kontradiktorno obravnavo dokazov.

Zaupnost informacij, ki jih prejmemo pri forenzični preiskavi, je trajna obveza in se ne preneha z zaključkom posla. Forenzično dokumentacijo hranimo ločeno od ostale poslovne dokumentacije in v varovanem okolju.

Pri sodelovanju s preverjenimi podizvajalci ohranjamo strokovni nadzor nad obsegom dela in interpretacijo ugotovitev. Strokovno odgovornost za poročilo prevzemamo sami.

Povpraševanje za digitalno forenziko

Sprejemamo vaša povpraševanja za predračun ali svetovanje glede obsega forenzične preiskave. Pri vašem povpraševanju kratko opišite:

  • — okoliščine, zaradi katerih razmišljate o forenzični preiskavi (varnostni incident, sum nepravilnosti, sodni postopek, notranja preiskava),
  • — pravni okvir, v katerem želite preiskavo izvesti (sodni postopek, upravni postopek, civilni postopek, notranja preiskava),
  • — vrsto digitalnih virov, ki naj bi bili predmet preiskave (računalniki, telefoni, strežniki, oblak, e-pošta, omrežni promet),
  • — okvirno časovnico in pričakovani obseg poročila.

Pri sumih varnostnih incidentov, ki še trajajo, vam pred zavarovanjem dokazov priporočamo posvet o pravilnem ravnanju, da bi ohranili celovitost dokazov za morebitne nadaljnje postopke.

E-pošta: info@cepris.si

Pogosta vprašanja

Kakšna je razlika med digitalno forenziko in revizijo informacijskih sistemov?

Revizija informacijskih sistemov je sistematična presoja delovanja notranjih kontrol, upravljanja, vodenja in skladnosti informacijskega sistema. Cilj revizije je dati neodvisno zagotovilo o stanju notranjih kontrol sistema na referenčni datum. Iskanje poneverb, goljufij ali analiza sumov storitve kaznivega dejanja ni osnovni namen revizije informacijskega sistema.

Digitalna forenzika je preiskovalna disciplina, ki se sproži, ko obstaja sum konkretnega varnostnega dogodka ali celo varnostnega incidenta, neavtorizirane uporabe informacijskega sistema, kraje podatkov, sporne odločitve, suma kaznivega dejanja. Forenzik zavaruje digitalne dokaze, jih analizira in pripravi poročilo, ki ohranja sledljivost dokazne verige.

Storitvi se v praksi pogosto dopolnjujeta. Revizija lahko opozori na slabosti, ki so vodile do incidenta, digitalna forenzika pa lahko razkrije konkretne ugotovitve, ki so podlaga za nadaljnje pravne ali kadrovske ukrepe.

Kakšni so zakonski okviri za izvedbo digitalne forenzike v Sloveniji?

Digitalna forenzika se izvaja v različnih pravnih kontekstih, ki vplivajo na obseg, način dela in dopustnost dokazov.

V sodnih postopkih so za digitalne dokaze ključni: za kazenske zadeve Zakon o kazenskem postopku (ZKP), za civilne postopke Zakon o pravdnem postopku (ZPP), v prekrškovnih postopkih Zakon o prekrških (ZP-1), ter Zakon o sodnih izvedencih, sodnih cenilcih in sodnih tolmačih (ZSodIzv), ki opredeljuje vlogo in odgovornosti sodnih izvedencev.

Pri obdelavi osebnih podatkov med forenzično analizo veljata Zakon o varstvu osebnih podatkov (ZVOP-2) in Splošna uredba o varstvu osebnih podatkov (GDPR). Pri digitalni forenziki delovnih sredstev (npr. službeni računalniki, e-pošta) je pomembno tudi spoštovanje Zakona o delovnih razmerjih (ZDR-1) in predpisov o pravicah delavca.

V notranjih preiskavah organizacije lahko forenzika poteka tudi brez sodnega okvira, vendar morata način izvedbe in dokumentacija ohranjati ustrezno raven sledljivosti, če bi se postopek pozneje preselil v sodno obravnavo.

Ali je forenzična analiza zaupna?

Zaupnost je v digitalni forenziki temeljna obveznost in trajna zaveza, ki ne preneha z zaključkom posla.

Pri vsakem naročilu pred začetkom dela uskladimo pravila zagotavljanja zaupnosti, kar formaliziramo z naročnikom v pogodbi ali sporazumu o zaupnosti (NDA). Med forenzično preiskavo dostop do podatkov omejimo na osebe, ki preiskavo izvajajo, in vodimo evidenco o tem, kdo je in kdaj imel dostop do katerih dokazov.

Forenzična dokumentacija se hrani ločeno od ostale poslovne dokumentacije in v varovanem okolju. Po zaključku posla naročnik prejme rezultate in poročilo. Preostale delovne izvode zavarovanih ali preiskovanih podatkov uničimo ali vrnemo naročniku v skladu z dogovorom in zahtevami predpisov.

Pri sodnih postopkih je obseg razkritja določen s procesnimi pravili — sodišče, tožilstvo in stranke postopka imajo zakonsko opredeljen dostop do dokazov.

Kakšen je tipičen potek forenzične preiskave?

Forenzična preiskava poteka v štirih osnovnih fazah, ki sledijo metodologiji iz mednarodnih standardov ISO/IEC 27037 in ISO/IEC 27043:

Identifikacija — z naročnikom uskladimo obseg preiskave, identificiramo digitalne vire, ki bi lahko vsebovali relevantne dokaze (računalniki, telefoni, strežniki, oblačne storitve, omrežni zapisi), in pripravimo načrt zavarovanja.

Zavarovanje — izvedemo forenzično zajemanje digitalnih nosilcev na način, ki ohranja nespremenljivost izvirnika. Pri vsakem zavarovanju izračunamo kontrolne vsote (običajno SHA-256), pripravimo zapisnik o zavarovanju in vzpostavimo verigo skrbništva.

Analiza — na zavarovanih kopijah (ne na izvirnikih) lahko izvedemo analizo, če je naročnik to zahteval. Analiza lahko obsega obnovo izbrisanih datotek, rekonstrukcijo dogodkov, pregled komunikacije, analizo metapodatkov, korelacijo z drugimi viri, iskanje ključnih besed in podobno.

Interpretacija in poročanje — pripravimo forenzično poročilo, ki vključuje opis metodologije, popis zavarovanih dokazov s kontrolnimi vsotami, ugotovitve in njihovo strokovno razlago. Poročilo je oblikovano tako, da je razumljivo pravnim zastopnikom in sodiščem.

Trajanje preiskave je odvisno od kompleksnosti. Posamezna analiza enega nosilci lahko traja nekaj dni, kompleksna preiskava z mobilnimi napravami, oblakom in več računalniki pa več tednov ali mesecev.

Ali se forenzična analiza lahko izvede brez sodelovanja IT oddelka organizacije?

Da, in v določenih primerih je to tudi nujno.

Ko je IT oddelek ali posamezen administrator sistema sam predmet preiskave, ali kadar obstaja sum, da bi vključitev internih virov lahko vplivala na celovitost dokazov ali postopek preiskave, forenzika poteka brez sodelovanja te enote. V tem primeru pridobimo dostop neposredno od poslovodstva, nadzornega organa ali na podlagi sodne odredbe.

Pri preiskavah, ki vključujejo nosilci v posesti zaposlenih (službene naprave), je pomembno tudi spoštovanje predpisov glede dostopa do delovnih sredstev in zasebnih podatkov.

V primerih, ko IT oddelek ni predmet preiskave, je sodelovanje običajno koristno, ker pospeši preiskavo in zmanjša možnost prekinitve poslovanja. Tudi v tem primeru forenzična ekipa ostane neodvisna od interne IT enote in vodi svoje delovne kopije ter dokumentacijo.

Kaj je veriga skrbništva in zakaj je pomembna?

Veriga skrbništva (chain of custody) je dokumentirano sledenje, kdo in kdaj je imel dostop do digitalnega dokaza, od trenutka zavarovanja do predaje naročniku.

Pri vsaki menjavi skrbnika ali lokaciji shranjevanja dokaza se v dokumentaciji zapiše datum, čas, vpletene osebe in razlog. Cilj je, da je v vsakem trenutku mogoče pokazati, da dokaza ni nihče nepooblaščeno spreminjal in da je ohranjena njegova celovitost.

Pomembnost verige skrbništva je največja pri sodnih postopkih. Brez zanesljive verige skrbništva nasprotna stran lahko izpodbija dokaze z argumentom, da je obstajala možnost spremembe dokazov. Tudi pri notranjih preiskavah priporočamo vzdrževanje verige skrbništva za primer, da se postopek pozneje preseli v sodno obravnavo.

Verigo skrbništva podpiramo z dvema tehničnima orodjema: kontrolnimi vsotami (SHA-256 ali drugimi kriptografskimi povzetki), ki dokazujejo, da se zajeti podatki niso spremenili, in zapisniki o zavarovanju, ki dokumentirajo postopek in vse vpletene osebe ter z natančno opredeljenimi internimi postopki ravnanja z digitalnimi dokazi.

Kdaj forenzika ni primerno orodje?

Digitalna forenzika ni vedno najprimernejša storitev za vsako težavo z informacijskim sistemom.

Forenzika ni primerna kot stalno orodje spremljanja varnostnih dogodkov — za to so primerni sistemi za upravljanje varnostnih dogodkov (SIEM), specializirana analiza dnevnikov in stalno spremljanje omrežnega prometa. Forenzika je usmerjena na konkreten dogodek, ne na neprekinjeno spremljanje.

Forenzika ni primerna kot prvi korak pri večjem aktivnem varnostnem incidentu — če napad še traja in povzroča aktivno škodo, ima prednost obvladovanje incidenta in okrevanje. Digitalna forenzika sledi po stabilizaciji stanja in se osredotoča na rekonstrukcijo dogodka.

Forenzika ni primerna za splošno presojo stanja informacijskega sistema — za to je primerna revizija informacijskih sistemov, ki sistematično preverja kontrole, upravljanje in skladnost.

Forenzika ni primerna kot nadomestek vdornega testiranja — vdorni test aktivno preverja, ali kontrole učinkovito ščitijo sistem. Digitalna forenzika rekonstruira preteklost po že nastalem dogodku.

Kateri bi bili konkretni primeri, kjer je lahko digitalna forenzika v pomoč?

Po uspešni zlorabi elektronske banke je bistveno zavarovati podatke naprave, ki je bila uporabljena za dostop do elektronske banke (npr. mobilnega telefona, tablice, prenosnega računalnika), sicer bo kasneje v primeru odškodninske tožbe težko dokazovati ustreznost ravnanj uporabnika in banke.

V primeru suma storitve kaznivega dejanja v organizaciji je mogoče zavarovati podatke iz digitalnih nosilci podatkov, kot so mobilni telefoni, USB ključki, namizni računalniki, strežniki. Po zavarovanju podatkov lahko vsi zaposleni naprej uporabljajo informacijski sistem brez motenj v poslovanju. Če bi bil sum kaznivega dejanja potrjen, je mogoče kasneje zavarovane podatke uporabiti kot dokaz v nadaljnjih postopkih.