Plánování forenzního zajišťění dat – návod na přípravu

Forenzní zajištění dat ve firemním prostředí v případech šetření bezpečnostních nebo jiných incidentů za účelem získání důkazů má svá úskalí. Na rozdíl od
vyšetřování trestné činnosti policií, není v korporátním prostředí tato činnost nějak explicitně regulována. Tím větší pozornost je nutné věnovat přípravě takových
úkonů. Článek dává návod na přípravu plánu forenzního zajištění digitálních důkazů.

Úvod

Orgány činné v trestním řízení (OČTŘ), tedy zejména policie, jsou ze zákona oprávněné v odůvodněných případech zasahovat do jinak chráněných zájmů občanů a organizací a zajišťovat důkazy (včetně digitálních).
Jiná situace je v případě interních šetření bezpečnostních incidentů a/nebo porušení závazných interních předpisů v organizacích. I takové negativní události je nezbytné vyšetřit a pro interní vyšetřování je také nezbytné zajistit (kromě jiných i) digitální důkazy. K tomu ale, na rozdíl od vyšetřování trestné činnosti, nejsou definovány prakticky žádné obecně závazné právní předpisy. Je tedy nutné vytvořit interní normy, které by (kromě jiného) zajištění digitálních důkazů ve vymezených případech a v definovaných případech umožňovaly. Není nutné připomínat, že takové interní předpisy musí být v souladu s jinými obecně závaznými normami.
To je ale otázka spíše na právní posouzení. Tím se zabývat tady nemůžeme. Budeme vycházet z předpokladu, že takové interní předpisy existují. V každém případě z nich asi musí vyplývat, že v rámci organizace je určena kompetentní pověřená osoba, která je oprávněná rozhodnout a schválit kdy, kdo, v jakých situacích, v jakém rozsahu a jakým způsobem může forenzně zajišťovat digitální důkazy z prostředků výpočetní techniky organizace.

Předpoklady

Účelem tohoto článku je popsat dle možností všechny relevantní vstupní informace, které je nutné zvážit pro rozhodovací procesy v případě nutnosti zajištění digitálních dat pro účely dalšího (i forenzního) zkoumání v případě jakýchkoliv (zejména bezpečnostních) incidentů. Dalším důvodem je výběr relevantních informací a dalších podkladů o záměru realizace zajištění dat pro účely rozhodovacích procesů na různých úrovních rozhodování (např. na úrovni CIRT/CERT, vedoucích dotčených organizačních celků, interního auditu, informační bezpečnosti apod.).
Je nutné předeslat, že ne všechny zde uvedené parametry a vstupní informace pro rozhodování o zajištění dat jsou nezbytně nutné. Je zřejmé, že složení a závažnost (váha) jednotlivých dále uvedených parametrů významně závisí od aktuální situace, rozsahu a obsahu jednotlivých šetřených incidentů a aktuálních potřeb. Také je nutné si uvědomit, že tento návod nemůže v žádném případě obsáhnout všechny situace a typy incidentů a ani s tím související parametry, které v některých situacích mohou i značně vybočit z toho, co je zde uvedeno.
Tento článek je tedy pouze orientačním vodítkem ke sběru a vyhodnocení relevantních informací pro plánování a realizaci zajištění dat v procesu šetření/vyšetřování bezpečnostních incidentů v podmínkách organizace a pro rozhodovací procesy o tom, zda a jak realizovat forenzní zajištění dat.
Je dále také vodítkem pro přípravu plánu zajištění, který by měl být alespoň v základním rámci připraven pro případ, že forenzní zajištění dat bude odsouhlaseno na vyšších řídících stupních a samotné zajištění by mělo proběhnout v souladu s takovým rozhodnutím a také v souladu s best practices pro forenzní práci.
To zajistí nejenom korektní výsledek zajištění dat z pohledu technického a forenzního, ale i z pohledu procesního tak, aby potenciální negativní dopady na organizaci byly minimalizovány, resp. aby samotné zajištění nevyvolalo žádné dodatečné dopady. Naopak, aby takové procesy a postupy maximálně přispěly k úspěšnému řešení (vyšetření) předmětného incidentu.
Zajištění dat z počítače/počítačů, na kterých se nacházejí potenciální důkazy o vyšetřovaném incidentu, se provádí v případech vyšetřování incidentů zejména vysoké priority. Potenciálně může zasahovat do citlivých nebo osobních dat uživatele/uživatelů počítačů, proto je takovou aktivitu nezbytné předem dle existujících možností důkladně připravit. K tomu existuje základní plán zajištění, pro který je nutné zjistit co nejvíce relevantních vstupů a který je nezbytné (alespoň jeho podstatnou část) schválit odpovědnou osobou.
Tento článek obsahuje návrh základních parametrů plánu forenzního zajištění dat, které jsou důležité nebo dokonce rozhodující pro finální schválení takového plánu.

Osobní odpovědnost

Pro rozhodování o realizaci plánu zajištění dat je základním požadavkem stanovení osobní odpovědnosti za jeho realizaci.
Obecně je odpovědnou osobou zpravidla pracovník, který by měl být v roli hlavního vyšetřovatele incidentu. Často je takovou osobou pracovník interního auditu, operačních rizik, útvaru bezpečnosti nebo obdobně postavených útvarů organizace.
Je vhodné a dokonce i nezbytné, aby měl podporu ze strany technologií (pověřená osoba z IT nebo IT Security) a právní podporu z právního oddělení.

Právní podpora

Právní podpora zajišťuje procesní a právní aspekty zajištění dat.
Zejména se zabývá problematikou oprávněnosti zajišťovacího úkonu ve vztahu k charakteru incidentu, souladu s obecně závaznými právními předpisy, vlastnictvím zajišťovaných dat (tj. jestli má organizace oprávnění s daty pracovat), rozhoduje o případném použití privátních dat uživatele v procesu šetření incidentu, zajišťuje součinnost v případech, kdy zařízení nebo data nejsou ve vlastnictví organizace apod.

Technická podpora

Technická podpora zajišťuje samotnou realizaci zajišťovacího úkonu.
Zpravidla tuto podporu realizuje útvar IT Security přímo sám (když má k takovým činnostem kvalifikaci a personál) případně v součinnosti s jinými technickými a provozními útvary organizace. V případě potřeby (nebo požadavku vyšetřovatele) zajišťuje součinnost při realizaci zajištění dat externími dodavateli speciálních forenzních služeb nebo v součinnosti s jinými technickými a provozními útvary organizace.
V případě potřeby (nebo požadavku vyšetřovatele) zajišťuje součinnost při realizaci zajištění dat externími dodavateli speciálních forenzních služeb nebo v součinnosti s OČTŘ a jejich specialisty.

Zdůvodnění

Ve zdůvodnění by měl být stručně uveden základní důvod(y) požadavku na realizaci zajištění dat tak, aby bylo jednoznačně zřejmé, proč je nutné forenzní zajištění dat realizovat.
Současně je potřebné vyjasnit, jaké informace pro vyšetřování je nezbytné získat a s jakou pravděpodobností lze očekávat, že bude možné je v zajištěných datech potenciálně nalézt.
Forma zdůvodnění může být různá v závislosti na informačním obsahu záznamů v interních evidencích vyšetřovaných událostí (lze využít interní registr incidentů, záznam v HelpDesku, nebo jakýkoliv relevantní interní informační systém) doplněna o stručný popis důvodů.
Podstatné je, aby osoba, která o forenzním zajištění dat rozhoduje, měla dostatek informací k tomu, aby shledala forenzní zajištění dat dostatečně zdůvodněné.

Potenciální dopady/rizika

Jedná se o popis potenciálních dopadů realizace zajišťovacích úkonů. Nejedná se tedy o hodnocení dopadů samotného vyšetřovaného incidentu, ale dopadů, které mohou vzniknout při realizaci zajištění dat.
Je zřejmé, že z důvodů zajištění dat mohou vzniknout časové prodlevy při využití počítače, prostoje v práci, případně dopady na organizaci v situaci, kdy by se jednalo o citlivá nebo osobní data uživatele(ů) počítače nebo data klientů.

Dopad na provoz

V závislosti od způsobu realizace zajištění dat může dojít k odstavení zajišťované techniky z provozu na dobu samotného zajištění, která závisí zejména od objemu zajišťovaných dat. Do úvahy je nutné započítat také potenciální riziko vzniku technických problémů, které mohou zajišťovací úkon i výrazně prodloužit.
V případě, kdy se bude zajišťovat jen samotná technika k provedení forenzních kopií dat na specializovaném pracovišti organizace nebo na externím forenzním pracovišti (potenciálně i na pracovišti Policie ČR) je nezbytné započítat relevantní prodlení a zvážit náhradní opatření pro eliminaci omezení provozu dotčeného pracoviště/pracovníka.

Dopad na klienty organizace

Je nutné zvážit a případně se vyjádřit k případům, kdy by mohlo mít zajištění dopad na klienty organizace.
Může se jednat o realizaci dodatečných opatření v případě, kdy by se jednalo o zajištění dat, obsahujících klientská data, zajištění dat z klientského počítače (např. v případě šetření kompromitace klientské stanice), případně přerušení služby klientům z důvodů zajišťování z techniky, která má vliv na realizaci služeb pro klienty.

Dopad na třetí strany

Zajištění dat může mít potenciální dopad na třetí strany, zejména v případě smluvních závazků s nimi. Například nutnost žádat o součinnost a případně i vícenáklady při zajištění dat z techniky, kterou má organizace v pronájmu se zajištěným servisem.

Rozsah dat

Předpokládané zajištění dat může zahrnovat zajištění z jednoho počítače jednoho uživatele, ale i z několika počítačů několika uživatelů, resp. uživatelských dat jednoho nebo několika uživatelů ze sdílených datových úložišť.
Taková variabilita rozsahu zajištění dat může mít vliv na parametry procesu zajištění jak z pohledu dopadů na provoz, tak na celkovou dobu a na personální a technické náklady, které zajišťovací proces vyžaduje.
Předpokládaný rozsah zajišťovaných dat je jedním ze základních a určujících parametrů celého procesu zajištění dat.
Důležitým parametrem, který ovlivní nejenom technickou stránku procesu, ale i procesní a právní opodstatněnost, je potenciální požadavek na zajištění nejenom dat z počítače, ale i dalších potenciálních datových nosičů – externí síťové úložiště, externí disky, USB zařízení a další uživateli dostupná datová úložiště, případně e‑mailové schránky.

Jak je lze provést?

V závislosti od charakteru vyšetřovaného incidentu lze v zásadě rozlišit dva způsoby zajištění dat – otevřeně a skrytě.

  • Otevřené zajištění dat probíhá s vědomím uživatele nebo vlastníka zajišťovaných dat. Podle okolností, které závisí na charakteru vyšetřovaného případu/incidentu, také s vědomím dalších relevantních osob (např. nadřízení pracovníci, kolegové apod.). Při otevřeném zajištění dat je nutné zvážit, kdo další kromě uživatele nabo vlastníka zajišťovaných dat má nebo musí být o takovém procesu informován. Případně je nutné zvážit i okolnosti, při kterých by měl být o úkonu informovány i další subjekty a jestli a kdo další musí k takové činnosti udělit dodatečný souhlas.
  • Skryté zajištění dat (např. pomocí nástroje F‑Response) probíhá bez vědomí uživatele (vlastníka) dat. Dá se to přirovnat k použití honey-potu v případě identifikace útoku, kdy je z pohledu strategie vyšetřování nutné nechat uživatele pracovat nebo kdy je nutné, aby uživatel nevěděl, že probíhá jeho vyšetřování. Při skrytém zajištění dat o procesu za‑ jištění by uživatel/vlastník dat o úkonu vědět neměl. Je nutné ale zvážit, zda o tom má vědět nadřízený osoby nebo další osoby (např. vyšší management). Toto posouzení je na vedoucím šetření (vyšetřovatel) s relevantní právní podporou.

Jak rychle?

Obecně platí, že zajištění dat má proběhnout tak rychle, jak to je jen možné. Digitální důkazy, které je potřebné zajistit, mohou mít totiž obecně velice krátkou životnost a každé zdržení jejich zajištění může způsobit jejich nenávratnou ztrátu.
Nicméně mohou existovat případy, které lze z pohledu strategie vyšetřování považovat za urgentní.
S mírou urgentnosti souvisí několik dalších aspektů, např.:

  • potenciální vícenáklady na celý proces jak z pohledu personálních nákladů (práce mimo pracovní dobu nebo práce nad rámec pracovní doby, urgentní využití externí podpory apod.), tak z pohledu technického (nutnost urychleně pořídit nebo zapůjčit specifickou technologii, a tedy schválit mimořádnou investici apod.),
  • potenciální problém v dodržení všech předpokládaných formálních kroků, jako je např. informování/souhlas relevantních nadřízených daného uživatele dat.

Zdůvodnění urgentnosti -­ definice časové urgentnosti

Pro požadavek na urgentní zajištění musí existovat relevantní důvody, zejména hrozba zničení důkazů, resp. potřeba zajistit důkaz ve stanoveném čase (např. v noci), který neumožňuje zajištění dat standardním způsobem.
Požadavek na urgentnost musí být zdůvodněn postupem vyšetřování a okolnostmi daného případu.
Při urgentním zajištění je nezbytné zajistit proces zajištění na základě výjimečných kompetencí, které stanovují výjimky z postupů, které se běžně používají. Může se jednat např. o:

  • prominutí standardních postupů, kdy je nutný souhlas se zajištěním od relevantních subjektů (např. nadřízený pracovníka, u kterého má zajištění dat proběhnout)
  • udělení souhlasu s potenciálními vícenáklady, které s urgentním zajištěním souvisí
  • související požadavky na práci přesčas nebo práci mimo pracovní dobu dotčených zaměstnanců

Předpokládaný časový plán

Každý plán zajištění dat musí mít alespoň orientační odhad časového harmonogramu, začátek zajištění a odhad časového průběhu i v souvislosti s odhadem dopadů (zejména vyčlenění specialistů na zajištění, odstavení zajišťované techniky z provozu apod.)

Kdo provede?

Pro zajištění dat je důležité zhodnotit charakter šetřeného případu, předpokládanou technickou složitost samotného procesu, rozsah zajištění, požadavky na urgentnost a požadavky na kvalifikaci osob, které budou zajištění dat realizovat.
Zejména v případech, kdy by se potenciálně mohlo jednat o případ, který svým charakterem může přesáhnout prostředí dané organizace nebo se vyznačuje značnou citlivostí nebo důležitostí, je doporučeno obrátit se s realizací procesu zajištění na kvalifikovaného externího dodavatele (primárně se předpokládá kvalifikovaný soudní znalec) a vyhnout se tak potenciálnímu nařčení z podjatosti.

Interní team

Ve všech standardních situacích by měl zajištění dat realizovat interní team organizace, který je pro forenzní zajištění dat proškolen a má odpovídající kvalifikaci a případně certifikaci.
Pro realizaci zajištění interním teamem je v rámci plánu zajištění nutné:

  • určit vedoucího zajištění, který odpovídá za technickou realizaci úkonu,
  • určit další členy teamu ‑ při forenzním zajištění dat platí pravidlo čtyř očí.

Externí dodavatel
Za externího dodavatele zajišťovacích úkonů lze považovat subjekt s odpovídající kvalifikací (soudní znalec) a technickými a personálními kapacitami. Zajištění dat externím dodavatelem je doporučeno primárně v případech:

  • charakter případu vyžaduje vyloučit podezření z podjatosti (případ může přesáhnout hranice organizace).
  • předpokládaná složitost technologií nebo její nestandardní vlastnosti neumožňují realizaci procesu interním teamem, interní team nemá k tomu speciální technologické vybavení nebo kvalifikaci
  • rozsah zajištění je mimo schopnosti interního teamu

Kombinace (interní + externí)

Kombinaci externího a interního realizačního teamu lze předpokládat při kombinaci podmínek uvedených výše a také v situaci, kdy se předpokládá zajištění v několika lokalitách ve stejnou dobu a interní team by nebyl schopen to personálně a/nebo technicky zajistit.

Policie

V specifických případech (např. na základě požadavku třetí strany) lze předpokládat, že zajištění dat by mohlo být realizováno experty Policie ČR. V takovém případě je nutné požadovat:

  • účast specialisty organizace (nebo pověřeného externisty) na zajišťovacích úkonech v roli pozorovatele. Jeho úkolem je (pro interní potřeby organizace) podrobně dokumentovat takový proces zajištění.
  • další forenzní kopii zajištěných dat pro potřeby interního vyhodnocení.

Co zajistit?

Základním pravidlem zajištění dat je, že samotné zajištění (forenzní kopie dat z originálních datových nosičů) se neprovádí mimo kontrolované prostředí pracoviště/laboratoře. Primárně se tedy zajišťují nosiče dat (technika/HW) a samotné pořízení forenzní kopie dat se provádí v laboratoři.
Zajištění dat přímo na místě zajištění se provádí pouze ve výjimečných případech, kdy to technologie neumožňuje nebo v případech, kdy by vyřazení technologie z provozu způsobilo neakceptovatelné (z pohledu organizace) dopady.
Zajištění dat přímo na místě se totiž vyznačuje vysokým rizikem vzniku chyby (technologické nebo lidské).
Potenciální zvýšená časová náročnost na zajištění techniky/HW a následného zajištění dat v kontrolovaném prostředí je pouze relativní, protože výrazně nejvíce času v celém procesu zabírá samotné kopírování dat a čas na zajištění techniky a její převoz na kontrolované pracoviště a zpět je zpravidla pouze zlomkem celkového času potřebného k forenznímu zajištění (překopírování) dat.

Techniku a média

Zajištění techniky (HW a případně média) na místě zajištění a následné pořízení forenzních kopií dat v laboratoři je základním kontrolovaným způsobem zajištění dat.

Pouze data (obrazy nebo logické kopie)

Zajištění pouze dat přímo na místě zajištění lze předpokládat pouze u specifických případů, kdy techniku zajistit nelze z provozních nebo technologických důvodů, příp. tehdy, kdy tomu brání procesně‑právní důvody (např. ochrana osobních údajů nebo ochrana vysoce citlivých informací) a existuje k tomu závazné stanovisko/doporučení ze strany relevantních (interních nebo externích) subjektů.

Vlastnictví cílového zařízení/dat

Zpravidla lze zajišťovat pouze data (a techniku, na které jsou taková data uložena), která jsou ve vlastnictví organizace nebo ke kterým má organizace oprávněný vztah nebo mohou přispět k vyřešení daného případu.
Přístup k datům (a technice), které nejsou ve vlastnictví organizace, lze zajistit pouze na základě formální dohody s vlastníkem zařízení/dat a po provedení odpovídajících organizačně‑právních kroků.

Závěr
Forenzní zajištění dat ve firemním prostředí v případech šetření bezpečnostních nebo jiných incidentů za účelem získání důkazů má svá úskalí. Na rozdíl od vyšetřování trestné činnosti policii, není v korporátním prostředí tato činnost nějak explicitně regulována. Tím větší pozornost je nutné věnovat přípravě takových úkonů. Mohou totiž zasahovat do chráněných zájmů subjektů, které jsou s digitálními důkazy spojené. Tím spíše musí být takové zásahy odůvodněné, podložené relevantními právními argumenty a provedené na od‑ povídající profesionální technické úrovni.
Je proto vhodné připravit a nechat si schválit v rámci organizace plán zajištění digitálních důkazů, který by měl obsahovat a popisovat následující okruhy otázek:

  • Osobní odpovědnost za provedení
  • Důvody forenzního zajištění dat
  • Zvážení dopadů
  • Rozsah zajištění
  • Způsob zajištění
  • Rychlost a časový plán
  • Technické provedení
  • Obsah zajištění
  • Vlastnický vztah k datům

Dobrá příprava je zárukou úspěšné akce. Navíc zajistí maximalizaci důkazné síly zajištěných digitálních dat a tím i úspěch ve vyšetřování bezpečnostních a jiných incidentů ve vaší organizaci.

 

 

 

Pusťme se do toho

Dejte nám vědět, s čím vám můžeme pomoci

Belgická 19, 120 00 Praha 2

+420 315 55 88 70