Coraz większa ilość danych cyfrowych powoduje większą potrzebę ich śledzenia, odzyskiwania lub analizowania. Wraz z liczbą danych przechowywanych w cyberprzestrzeni, rośnie także liczba cyberataków. To wyzwanie dla tych, którzy zajmują się śledzeniem poczynań cyberprzestępców.
Informatyka śledcza wkracza w nową fazę. Stworzony przez amerykańskich naukowców system pozwoli cofnąć się w czasie, by dokładnie prześledzić, w jaki sposób cyberprzestępca złamał zabezpieczenia systemu.
Na świecie rośnie zainteresowanie informatyką śledczą dla potrzeb organów ścigania. W listopadzie prezydent Donald Trump podpisał ustawę zatwierdzającą działalność Narodowego Instytutu Informatyki Śledczej (National Computer Forensics Institute). Urząd od 2008 roku na zlecenie amerykańskiego Secret Service i Alabama Office of Prosecution Services przeszkolił w zakresie informatyki śledczej niemal siedem tysięcy policjantów, prokuratorów i sędziów.
Europejski rynek informatyki śledczej był w ubiegłym roku warty 790 mln dol. Eksperci prognozują jednak jego błyskawiczny wzrost na średniorocznym poziomie 13,40 proc. Oznacza to, że do roku 2022 wartość tego rynku na samym tylko Starym Kontynencie wzrośnie do 1,66 mld dol.
Naukowcy z Georgia Institute of Technology we współpracy z amerykańskim departamentem obrony stworzyli system RAIN (Refinable Attack Investigation), określany jako pierwsze zautomatyzowane narzędzie informatyki śledczej. Oprogramowanie pozwala dokładnie prześledzić, w jaki sposób cyberprzestępca złamał zabezpieczenia, nawet jeśli zatarł on wszystkie ślady. RAIN w pełni automatycznie przeszukuje sieć w poszukiwaniu potencjalnych zagrożeń.
Naukowcy ułożyli zbierane przez narzędzie informacje w hierarchiczny sposób i zastosowali zróżnicowane metody automatycznej analizy danych, dzięki czemu nie wystąpią problemy z ograniczonym miejscem na przechowywanie logów – informacji, dotyczących niepożądanych zdarzeń czy błędów w systemie. W najgłębszej warstwie system potrafi wydobyć informacje na poziomie jednego bajta.
– Bez technologii niewiele moglibyśmy zrobić, przy tej liczbie danych możemy sobie wyobrazić, że gdybyśmy chcieli wydrukować wszystkie informacje zawarte na standardowym dysku, to mielibyśmy stos kartek A4 na kilkanaście kilometrów w górę. W związku z tym żaden człowiek nie jest w stanie przetworzyć takiej ilości informacji, dlatego niezbędna jest dzisiaj ta technologia – tłumaczy w rozmowie z agencją informacyjną Newseria Innowacje Sebastian Małycha, prezes zarządu firmy Mediarecovery.
Kolejnym przykładem zautomatyzowanych działań śledczych w cyberprzestrzeni są zaawansowane algorytmy portalu społecznościowego Facebook, który wykorzystuje systemy rozpoznawania i dopasowywania obrazów oraz uczenia maszynowego do wychwytywania postów związanych z terroryzmem. Wykorzystanie metod sztucznej inteligencji pozwala na zablokowanie nawet 99 proc. niepożądanych treści, zanim ktokolwiek je zobaczy lub oznaczy.
– Możemy wyśledzić, czyli przeanalizować, każdy rodzaj danych i uzyskać to, co nas interesuje, bez względu na to, czy jest to tekst, czy liczby w sensie numer PESEL, czy jest to kawałek obrazka, zdjęcie tablicy rejestracyjnej, czy są to jakieś warunki logiczne typu większy, mniejszy, równy itd. Od strony cyfrowej nie jesteśmy w żaden sposób ograniczeni – mówi ekspert.
Usługi informatyki śledczej są przeznaczone dla firm, które chcą udowodnić np. nielojalność pracownika, czy wynosi informacje z firmy, wysyła je na zewnątrz. Z usług skorzystać mogą także osoby prywatne, np. w poszukiwaniu dowodów zdrady przed postępowaniem rozwodowym. W Polsce informatyka śledcza wykorzystywana jest jednak przede wszystkim przez wymiar sprawiedliwości.
– Dostajemy konkretne postanowienie od prokuratora, w którym jest mowa: proszę sprawdzić, czy na dysku znajdują się treści związane z pornografią, skany dowodów osobistych, skany jakichś dokumentów, pełnomocnictw – wymienia Sebastian Małycha.