Informatyka śledcza Prawo i Zwalczanie nadużyć Informacje o Firmie Kontakt Polityka prywatności
Informatyka śledcza
Czym jest Informatyka śledcza?
Proces informatyki śledczej
Co możemy udowodnić?
Dlaczego Kroll Ontrack?
Studium Przypadków w Polsce
Studium Przypadków na świecie
Prawo i Zwalczanie nadużyć
Informacje o Firmie
Kontakt
Polityka prywatności
Informatyka śledcza / Studium Przypadków w Polsce
Studium Przypadków w Polsce
Rozwiązana umowa o pracę

Firma projektowa specjalizująca się w opracowywaniu projektów instalacji hydraulicznych zdecydowała się na rozwiązanie umowy o pracę z jednym z projektantów.
Specjalista pracował przy tworzeniu kilku aktualnie realizowanych przez firmę zleceń.
W chwili odejścia z pracy wykasował dotychczasowe wyniki swojej pracy, uznając je za swoją własność. Zgodnie z polskim ustawodawstwem efekty pracy wykonanej przez pracownika w trakcie trwania stosunku pracy należą do pracodawcy, nie pracownika.

Właściciele firmy projektowej wskutek wykasowania danych narażeni zostali na poniesienie wysokich kar z tytułu niedotrzymania terminów wykonania projektów. Określenie okoliczności wykasowania danych powierzyli specjalistom firmy Kroll Ontrack specjalizującej się m.in. w informatyce śledczej.

Specjaliści Kroll Ontrack wykazali, kiedy i w jaki sposób usunięto dane - informacje te mogły następnie zostać wykorzystane jako środki dowodowe w przypadku skierowania sprawy do sądu. Ponadto udało się odzyskać utracone dane.

Dysk Aleksandry Jakubowskiej i dyski wykradzione z MSZ

Do końca lat dziewięćdziesiątych świadomość istnienia informatyki śledczej była w Polsce niemalże zerowa.
Zmiany nastąpiły dopiero wtedy, gdy działania związane z informatyką śledczą (ang. computer forensics) stały się udziałem głośnych medialnie spraw, jak np. afera Rywina czy wykradzenie dysków z Ministerstwa Spraw Zagranicznych.

Jednocześnie wydarzenia te pokazały, jak istotna może okazać się praca specjalistów takich firm, jak m.in. Kroll Ontrack.
W roku 2002 rozpoczęło się śledztwo związane z tzw. aferą Rywina. Jednym z kluczowych dla śledztwa działań było odzyskanie wiadomości pocztowych ze sformatowanego dysku minister Aleksandry Jakubowskiej. Znajdowały się na nim dowody pozwalające prokuraturze na ustalenie przebiegu wydarzeń w jednym z wątków afery korupcyjnej.

Zarząd kontra pracownik

Pracownik jednej z firm został posądzony przez pracodawcę o przeglądanie w czasie pracy stron internetowych o tematyce niezwiązanej
z realizowanymi zadaniami. Dowodem miała być wykasowana historia odwiedzanych stron www. Pozycja pracownika w firmie została zagrożona. Oskarżony pracownik, nie zgadzając się z zarzutami zarządu firmy, zdecydował się udowodnić, że nie odwiedzał stron internetowych, które nie miałyby związku z realizowanymi zadaniami.

Z analizy dokonanej przez firmę Kroll Ontrack, której zlecono dostarczenie informacji o rzeczywistym przebiegu sytuacji wynikało, że w czasie pracy pracownik rzeczywiście nie odwiedzał wspomnianych stron internetowych. Działania Kroll Ontrack pozwoliły więc na oczyszczenie go z zarzutów.

Komputer prezesa Wirtualnej Polski

Sprawa komputera prezesa Wirtualnej Polskiej jest przykładem straty jaką poniosła jedna ze stron z powodu braku świadomości istnienia usług informatyki śledczej w Polsce.

Większościowy udziałowiec portalu wp.pl zawarł porozumienie z posiadaczami udziałów stanowiącymi mniejszość, w którym zobowiązał się do odkupienia reszty udziałów po upływie określonego czasu. Cena wykupienia udziałów miała zależeć bezpośrednio od ilości użytkowników portalu.

Po upływie terminu, w którym miało nastąpić odkupienie udziałów okazało się, że pakiet mniejszościowy był droższy niż łączna kapitalizacja dwóch najbardziej konkurencyjnych portali.

Większościowy udziałowiec wycofał się z podjętego zobowiązania. Podjęte zostały działania prowadzące do pogorszenia kondycji finansowej portalu, a w konsekwencji do doprowadzenia portalu do upadłości. Mniejszościowi udziałowcy zdecydowali się na zweryfikowanie zawartości komputera przenośnego jednego z managerów.

Komputer zawierający dane, które miały stanowić materiał dowodowy w sprawie, zdeponowano u notariusza. Zanim to jednak nastąpiło osoby te otwarły pliki, w których znajdowały się strategiczne dla sprawy informacje - materiały mające świadczyć o próbie doprowadzenia portalu do upadłości. Niestety otwierając dokument zmieniono jego atrybuty włącznie z datą utworzenia, pozbawiając dokument wartości dowodowej.

W przypadku zlecenia takich działań firmie Kroll Ontrack specjaliści zabezpieczyliby nośnik, wykonaliby kopię jego zawartości bez uruchamiania plików jednocześnie umożliwiając osobom prowadzącym dochodzenie dostęp do danych. W ten sposób wartość dowodowa zgromadzonego materiału zostałaby zachowana.

Elektroniczne dowody fałszerstw

Do firmy Kroll Ontrack trafiło zgłoszenie przesłane przez prokuraturę prowadzącą śledztwo w sprawie fałszowania dokumentów. Podczas przesłuchań trzy zatrzymane osoby posługujące się sfałszowanymi dokumentami przyznały się do winy. Jednocześnie okazało się, że współpracował z nimi informatyk, który przygotowywał w wersji elektronicznej kopie dokumentów tożsamości, zaświadczeń o zatrudnieniu i pieczątek.

Po tym zeznaniu prokuratura wydała nakaz aresztowania podejrzanego o fałszerstwo oraz nakazała zarekwirowanie sprzętu komputerowego,
z użyciem którego dokonywano fałszerstw.

Na porę zatrzymania podejrzanego wybrano wieczór. W czasie interwencji funkcjonariuszy fałszerz dokumentów próbował zniszczyć komputer uderzając nim o ziemię. Jego działania odniosły skutek - dysk twardy z laptopa uległ fizycznemu uszkodzeniu fizycznemu.

W takim przypadku jedynym możliwym sposobem odzyskania danych było otwarcie nośnika w laboratoryjnych warunkach oraz wykorzystanie technologii umożliwiającej odtworzenie danych bezpośrednio z otwartego nośnika. W przypadku fałszerza specjaliści katowickiego laboratorium Kroll Ontrack odzyskali 74 pliki zawierające wzorce spreparowanych dokumentów. Informacje te posłużyły jako materiał dowodowy
w prowadzonym przez prokuraturę dochodzeniu.

Komputer wyrzucony z okna

Osoby, które łamią prawo pilnie strzegą informacji mogących je pogrążyć. Ponieważ wiele takich danych jest archiwizowanych na komputerach (często przenośnych) jednym ze sposobów na oskarżenie podejrzanego jest zgromadzenie elektronicznych dowodów łamania prawa.

Przestępcy najczęściej korzystają z komputerów przenośnych. Pozwala im to na ciągły dostęp do ważnych danych. W razie potrzeby jest też łatwiej pozbyć się notebook'a niż setek lub tysięcy kartek papieru. Tak przynajmniej sądził ścigany przez policję przestępca - księgowy jednej
z dużych grup przestępczych. Uciekając dotarł na dach budynku i zrzucił z niego komputer przenośny z obciążającymi go informacjami.

Ponieważ dane te mogły być decydujące w śledztwie do ich odzyskania zatrudniono Kroll Ontrack. Cały komputer po upadku był mocno zniszczony. Jednak z uszkodzonego dysku udało się odzyskać ok. 7 proc. danych. Taka ilość informacji wystarczyła do obciążenia podejrzanego.
Odbywa on obecnie karę pozbawienia wolności.

Kradzież i wykorzystanie danych przez konkurencję

Udostępnianie danych osobom, które przeprowadzają dla danej firmy określone projekty może niekiedy okazać się niezwykle ryzykowne. Doświadczyło tego jedno z największych biur projektowych, które na potrzeby realizacji jednego ze swych zleceń postanowiło podjąć współpracę
z inną firmą. Miała ona wesprzeć działania biura i wraz z jego pracownikami utworzyć zespół zajmujący się projektem przez następne czternaście miesięcy.

Powołany zespół pracował w siedzibie biura projektowego (zleceniodawcy). Dzięki temu pracownicy firmy wspomagającej biuro mieli potencjalną szansę na bezprawny dostęp do wszelkich danych znajdujących się na komputerach ich zleceniodawcy. W trakcie realizacji projektu pracownicy biura przypadkowo odkryli, iż na rynku pojawiły się produkty bazujące na rozwiązaniach technologicznych stworzonych przez nich samych.
W tej sytuacji, obawiając się przecieku, przeprowadzono analizę komputerów pracowników, serwerów danych oraz przesyłanych dokumentów.
Pozwoliło to na ustalenie źródła przecieku, którym okazał się zespół projektowy, a dokładnie jeden z pracowników firmy zatrudnionej przez biuro. Ustalono, że kilkakrotnie włamywał się on na serwery, gdzie przechowywane były dane pochodzące z innych projektów, po czym przesyłał je na serwery swej macierzystej firmy.

Odkrycie tych działań nie byłoby możliwe bez szczegółowej analizy komputerów biura projektowego, dokonanej przez specjalistów i poprawnego zabezpieczenia elektronicznych środków dowodowych, które mogły być użyte w sądzie. Zarazem przypadek ten pokazuje, jak istotne jest zabezpieczenie danych firmy, których wykorzystanie może być w przyszłości przyczyną jej poważnych problemów.

Agencja reklamowa z Krakowa

Pracownik działu sprzedaży jednej z czołowych krakowskich agencji reklamowych założył własną działalność gospodarczą. Dysponując dostępem do zapytań ofertowych kierowanych do agencji przygotowywał konkurencyjne oferty w imieniu własnej firmy oferując organizatorom przetargów ceny niższe niż pracodawca. Właściciele agencji reklamowej zaniepokojeni kolejnym niepowodzeniem zdecydowali o sprawdzeniu jakości pracy swojego pracownika. Dysk twardy komputera pracownika przesłali do laboratorium odzyskiwania danych Kroll Ontrack prosząc o odzyskanie wykasowanych informacji. Wśród odzyskanych plików nie znaleziono żadnego dokumentu wskazującego na winę pracownika.

Właściciele agencji reklamowej nie poinformowali jednak specjalistów o celu zlecenia, którym było znalezienie dowodów na działanie nielojalnego pracownika - co nie jest równoznaczne z odzyskaniem danych. Sprawa trafiła do działu Kroll Ontrack zajmującego się dostarczaniem elektronicznych środków dowodowych. Okazało się, że zleceniodawcy błędnie założyli, iż pliki zostały tylko skasowane.

W rzeczywistości na ich miejsce zostały zapisane nowe informacje. W konsekwencji na dysku pozostały tylko fragmenty plików zawierające kluczowe informacje. Wśród odtworzonych informacji znalazły się konta bankowe, na które trafiały pieniądze z przegranych przez agencję,
a wygranych przez firmę pracownika kontraktów, części ofert, wiadomości poczty elektronicznej dokumentujące działania pracownika.

Elektroniczni detektywi Kroll Ontrack odtworzyli również część wiadomości wysyłanych z prywatnego konta na komercyjnym portalu internetowym, do którego pracownik logował się bezpośrednio poprzez stronę www, bez pośrednictwa programu pocztowego.

Sprawa gdańskiej gimnazjalistki

Działania związane z informatyką śledczą nie dotyczą jedynie danych zamieszczonych na dyskach twardych komputerów, ale również na takich urządzeniach, jak pamięci flash, bądź telefony komórkowe.

W związku ze zwiększającą się liczbą funkcji i pojemności telefonów komórkowych, dane z nich pochodzące mogą stać się cennym źródłem dowodowym, wykorzystywanym w informatyce śledczej. Jednym z takich przypadków była udana próba odzyskania filmu zapisanego na telefonie komórkowym jednego z gdańskich licealistów w roku 2006.

Film ten był zapisem napastowania jednej z gimnazjalistek przez grupę jej kolegów, w tym chłopca nagrywającego to zdarzenie podczas lekcji
w szkole. Nagranie to zostało następnie opublikowane w Internecie, co mogło być powodem samobójczej śmierci dziewczynki.

Po tym zdarzeniu i rozgłosie, jaki został mu nadany w mediach, chłopcy skasowali film. Telefon został jednak zabezpieczony przez policję, której przedstawiciele w toku postępowania przekazali aparat do analizy specjalistom firmy Kroll Ontrack. W katowickim laboratorium informatyki śledczej odzyskano wykasowaną zawartość telefonu, w tym nagranie z lekcji. Film został wykorzystany w sprawie.

Nieuczciwi pracownicy

Coraz powszechniejszy staje się ostatnio problem nieuczciwych pracowników. Do najliczniejszych przypadków, którymi zajmują się elektroniczni detektywi należy m.in. kradzież danych przez nieuczciwych pracowników.

Przykładem takiej sytuacji jest jedna z firm informatycznych, zajmująca się tworzeniem i wdrożeniami aplikacji biznesowych.
Zespół zatrudniony do obsługi jednego z klientów firmy postanowił przejąć proponowane przez firmę rozwiązania (zespół przygotowywał się do kradzieży kodu źródłowego informacji) i sprzedać je poza nią, po uprzednim zwolnieniu się poszczególnych osób z pracy.

Ustalono nawet osobną pulę pieniędzy, która miała być przeznaczona na ewentualną karę nałożoną przez pracodawcę.
Propozycję, która miała być tańsza od oryginalnej, złożył jeden z handlowców, będący w bezpośrednim kontakcie z klientem.
W wyniku tego klient postanowił zerwać umowę z firmą i skorzystać z tańszej oferty złożonej przez nieuczciwych pracowników.

Zaniepokojony takim postępowaniem klienta zarząd firmy postanowił przeanalizować zaistniałą sytuację i w wyniku własnych ustaleń dotyczących handlowca zdecydował się na dalsze kroki - zlecenie firmie Kroll Ontrack analizy komputerów, urządzeń PDA oraz telefonów komórkowych należących do zespołu. Podjęte przez specjalistów działania dały pełny obraz nieuczciwych działań pracowników i pozwoliły firmie na wyciągnięcie prawnych konsekwencji w stosunku do zaangażowanych w to działanie osób.



Odzyskiwanie danych |  Kasowanie danych  |  Informatyka śledcza | Dowody elektroniczne  |  Nadużycia gospodarcze
odzyskiwanie danych Kontakt   O Nas   Dlaczego Kroll Ontrack   Polityka Prywatności
Copyright © 2011 Kroll Ontrack Inc. All Rights Reserved.