Nekoliko je uobičajenih slučajeva u kojima korporativni klijenti zahtijevaju usluge forenzičke analize računalnih sustava, među kojima je najistaknutiji povreda informacijske sigurnsoti od strane trenutačnih ili bivših zaposlenika. U ovom članku koji je nastao iz parcijalnih članaka objavljenim na osobnoj Web stranici posvećenoj vještačenjima, računalnoj forenzici te računalnoj sigurnosti i članka “What to do in case of security breaches and how to prevent them?”, objavljenom u reviji “Varnostni forum” (broj 03/2010), izložit će se nekoliko praktičnih savjeta onima koji su odgovorni za sprečavanje sigurnosnih propusta, te informacijsku i integralnu sigurnost općenito po pitanju postupanja u tim slučajevima kako bi se situacija riješila uz nastup najmanje moguće štete po poduzeće ili organizaciju. Iz prakse je poznato kako je najvažnije istaknuti što odgovorni za informacijsku sigurnost u tom slučaju ne trebaju nikako činiti, jer amaterski pristup često može donijeti više štete nego koristi te je često u početnim fazama odgovora na kompromitiranje informacijske sigurnosti bolje ne učiniti ništa nego krivim činjenjem uzrokovati dodatnu štetu. “Ad hoc” nesustavni način reakcije na sigurnosne propuste čest je u organizacijama u kojima se integralnom i informacijskom sigurnošću ne bavi kontinuirano, u kojima se tim problemima počne baviti tek po nastupu štetnog događaja ili kada se otklanjanjem posljedica bave ili preniske, operativne razine poduzeća ili vrh menadžmenta koji objektivno ne posjeduje uvijek operativna znanja nužna za otklanjanje posljedica sigurnosnih propusta.

U tom smislu, pet reakcija koje treba izbjegavati, a na koje se praksi često nailazi su sljedeće:

1. Pristupiti problematici mirno i bez panike, a osobito izbjegavati bilo kakav oblik pisane i telefonske komunikacije. Ukoliko postoji opravdana sumnja u štetan događaj ili je već nastupila šteta po hardver ili softver u poduzeću, sumnja li se da su računalni ili komunikacijski sustavi korišteni na način nesukladan poslovnoj politici ili je čak prekršen zakon, potrebno je uz potpunu povjerljivost raspraviti korake s vrhovnim razinama odlučivanja unutar organizacije, pritom minimizirajući broj uključenih u konkretno postupanje. Vrlo često, osobito u slučajevima kriminalnog karaktera, prijestupe ove vrste čine ljudi kojima se vjeruje, koji su na visokim pozicijama i uključeni su u održavanje sustava.
2. Najvažnije je ne izazvati sumnju kod onih u koje se sumnja, jer to može rezultirati daljnjim kompromitiranjem računalnog i telekomunikacijskog sustava ili brisanjem podataka.
3. Temeljna greška koju čini dosta rukovoditelja je konfrontiranje sumnjivaca odmah po otkrivanju možebitnog korištenja računalnih sustava u nedozvoljene svrhe i na nedozvoljen način, a prije nego što je forenzičar izuzeo moguće dokaze temeljem kojih će se kasnije postupati u mogućem radnom sporu ili sudskom procesu.
4. Ne izbjegavati kontakt s policijom. Ukoliko je na bilo koji način prekršen zakon, po dogovoru s odgovornim osobama organizacije, odnosno poduzeća, potrebno je obavijestiti policiju.
5. Ne isključujte iz struje uključena računala i računalne sustave koji su možda korišteni od strane sumnjivaca i ne gasite ih, osigurajte im sigurno napajanje strujom do kontaktiranja računalnog forenzičara. Ne uključujte isključena računala jer uključivanjem možete pobrisati važne tragove.
6. Naposlijetku, jedna od najvećih šteta može biti počinjena od strane djelatnika internih odjela za upravljanje informatičkim tehnologijama i telekomunikacijama ukoliko se pokuša provesti interna istraga. Područje računalne forenzike vrlo je kompleksno i osobe koje imaju visoku razinu obrazovanja u radu s računalima nisu nužno i osobe koje mogu provesti istragu ove vrste, a osobito ne na način koji će kasnije biti prihvatljiv sudovima u slučaju odštetnih ili kaznenih zahtjeva. Ukoliko se ne zna točno koji je postupak forenzičke analize, ne posjeduju se adekvatni alati i ne shvaćaju se pravne implikacije dokaza koji se nalaze na računalima i računalnim sustavima, vrlo lako može doći do toga da se ili nehotice korumpiraju i unište dokazi ili da pribavljene informacije u eventualnom sudskom sporu ne budu prihvaćene.

Nakon što su izloženi postupci koje nikako trebalo činiti u slučaju sumnje na nastup neželjenog sigurnosnog događaja, objasnit će se što bi trebalo učiniti kako bi se osigurala lakša analiza opreme i informacijskih sustava forenzičkim istražiteljima ili vještacima po njihovom angažmanu.

1. Vrlo rijetko potrebno je djelovati odmah. Naime, računalni i komunikacijski sustavi uglavnom zadržavaju “dokaze” na sebi duže vrijeme, tako da ima dovoljno vremena da se na miru napravi akcijski plan. Pritom treba objektivno odgovoriti na sljedeća pitanja
- Koga obavijestiti unutar poduzeća?
- Je li prekršen zakon?
- Je li potrebno kontaktirati policiju?
- Je li potrebno kontaktirati odvjetnički ured?
- Može li se provesti interna istraga?
2. Potrebno je identificirati moguće izvore dokaza u terminima korištene i moguće kompromitirane računalne opreme u fizičkom smislu i popisati ih.
3. Isto kao pod prethodnom točkom treba napraviti s mogućim medijima druge vrste - diskete, CD/DVD optički mediji, tvrdi diskovi, USB diskovi, vanjske USB memorije, memorijske kartice, te digitalne foto kamere potencijalni su izvori dokaza i tragova.
4. Jesu li zlouporabljena i druga računala, npr. “zajednički” terminali, računala suradnika iz ureda ili poduzeća, mobilni telefoni, palm računala, elektronski organizatori?
5. Koji servisi i baze podataka su možda kompromitirani i gdje se oni nalaze, jesu li interni ili vanjski (distribuirani), gdje su fizički smješteni?
6. Potrebno je identificirati trake i ostale medije na koje je izvršen zadnji funkcionalni backup (pohrana) podataka i *ne vršiti* povrat podataka s njih prije nego što računalni forenzičar izuzme dokaze.
7. Identificirati i spremiti postojeće dnevnike (logove) pristupa koji su pohranjeni na računalima, mrežnoj opremi, serverskim sustavima, telefonskim centralama i faks uređajima. Oni mogu biti od velikog interesa i pomoći forenzičaru, odnosno vještaku.
8. Je li dio zlouporabe računalnog sustava poduzeća vršen preko računala koje se nalazi van poduzeća, npr. osobno kućno ili prijenosno računalo osobe na koju se sumnja? Na kojoj lokaciji se nalazi to računalo i hoće biti od interesa u istražnim radnjama?

9. Bitno je sačuvati korištene računalne sustave od promjene. Ukoliko je računalo isključeno, neka ostane isključeno, pošto se ponovnim uključenjem mogu pobrisati važni tragovi. Ukoliko se radi o mobilnom telefonu, fiksnom bežičnom telefonu ili palmtop uređaju, treba ga spojiti na izvor električne struje kako se po pražnjenju baterije računalo ne bi ponovo pokrenulo i kako se ne bi uslijed dubinskog pražnjenja izgubili mogući tragovi. Ukoliko je suspektno računalo uključeno, neka ostane uključeno do dolaska računalnog forenzičara i izuzimanja tragova i mogućih dokaza.
10. Računalo treba isključiti (fizičkim uklanjanjem kabela) iz računalne i telefonske mreže, kako bi se spriječio možebitni daljinski pristup računalu i uklanjanje dokaza.
11. Po zajedničkom dogovoru odgovornih, koordinirati s rukovoditeljem informatičke službe promjenu glavnih lozinki za korištenje sustava te isključivanje mogućnosti korištenja računalnog sustava i sustava elektroničke pošte osobama koje su mogući počinitelji zlouporabe, no samo ako je procijenjeno da je to od interesa za istragu. Sve izuzete dokaze treba spremiti na sigurno mjesto i osigurati ključem te popisati i pohraniti tijek poduzetih koraka s potpisima odgovornih osoba. Po potrebi, u ovaj proces moguće je uključiti javne bilježnike.

Naposlijetku, najbolji savjet bio bi imati uspostavljen preliminarni kontakt s računalnim forenzičarem, odnosno vještakom, osobito u slučaju većih organizacija koje koriste kompleksne računalne sustave, kako bi se osigurali pravovremeni odgovor i reakcija u ovakvim situacijama.

mag. oec. Saša Aksentijević, univ.spec.oec, stalni sudski vještak za informatiku i telekomunikacije