93 procent informacji gospodarczych przechowuje się w postaci elektronicznej. To znaczy, że jeśli przestępstwo popełni ktoś z tzw. białych kołnierzyków, bezpośredni dowód winy można znaleźć w systemach informatycznych. Będą przynajmniej ślady tego, że transakcję rozliczono poza systemem

Jestem specjalistą w dziedzinie analizy danych, badam przypadki oszustw. Dokładniej - jestem detektywem specjalizującym się w kryminalistyce komputerowej. Moja praca polega na lokalizowaniu, zapisywaniu, wydobywaniu i analizowaniu wszelkich informacji elektronicznych, które mogą pomóc w dochodzeniu prowadzonym w związku z przestępstwem lub oszustwem.

Wykażę w tym tekście, że technologia kryminalistyczna (zwana także kryminalistyką informatyczną, kryminalistyką komputerową, analizą dowodów oszustwa lub ekstrakcją danych) jest niezwykle ważnym elementem każdego działania związanego z projektami zarządzania ryzykiem nadużyć.

Wyobrażenia

Prowadzenie dochodzenia kojarzone jest zwykle albo z detektywem, który nie rozstaje się z papierosem, a informacje zdobywa włócząc się po ciemnych zaułkach, albo z porucznikiem Colombo, który zadaje pytania pozornie bez znaczenia i odkrywa prawdę kawałek po kawałku, aż do rozwiązania zagadki po 11 godzinach śledztwa. Taki obraz należy już do przeszłości.

Fakty

93 procent informacji gospodarczych przechowuje się w postaci elektronicznej. Oznacza to, że w razie przestępstwa popełnionego przez "białe kołnierzyki", jest prawdopodobieństwo, że bezpośredni dowód znajdziemy w systemach informatycznych albo że uda się tam znaleźć na przykład ślady tego, że transakcję rozliczono poza systemem.

W pracy śledczego przekonałem się, że większość sprawców zamieszanych w malwersacje to osoby, które wykazały wiele sprytu w opracowaniu i wykonaniu swoich misternych planów przestępstw. Niestety dla nich, ze względu na złożoność systemów komputerowych, większą szansę na zatarcie śladów miałyby chyba ich 14-letnie dzieci.

Połączenie obydwu tych faktów prowadzi do prostego wniosku, że wśród informacji elektronicznych zapisanych w systemie komputerowym można z dużym prawdopodobieństwem znaleźć mnóstwo użytecznych dowodów.

Przeszukiwanie danych

Pracę opartą na technologii kryminalistycznej można podzielić na trzy zasadnicze nurty.

* Komputerowe techniki dochodzeniowe

Przypomnijmy sobie scenź z "Mission Impossible", w której Tom Cruise w specjalnej uprzęży zostaje opuszczony przez kanał wentylacyjny, kopiuje dane z komputera, po czym znika w zasłonie dymnej. Rzeczywistość, w której przestępcy obywają się bez szybu wentylacyjnego i zasłony dymnej, nie zawsze jest tak odległa od tej sceny. Jestem często zatrudniany do tworzenia dokładnych kopii (obrazów) dysków ze stacji roboczej. Wykonuję je poza godzinami pracy użytkowników oraz w taki sposób, aby nie domyślili się, że złożyłem im wizytę, kiedy ponownie zasiądą do komputera. Tak często wygląda właśnie operacja zabezpieczania danych.

Jej celem jest zdobycie informacji w taki sposób, aby mogły zostać dopuszczone w charakterze dowodu przed sądem. Korzysta się przy tym z różnych narzędzi, choć często samo narzędzie nie zawsze decyduje o tym, czy zdobyty za jego pomocą dowód zostanie dopuszczony. Chodzi raczej o procedurę wykonania operacji. Volvo to bezpieczny samochód, ale tylko pod warunkiem, że prowadząc go, przestrzega się zasad bezpiecznej jazdy. Nieostrożna jazda spowoduje, że będzie on tak samo niebezpieczny, jak każdy inny pojazd.

Przebieg wykonywanej pracy musi być udokumentowany w sposób, który przez niektórych mógłby być uznany za przesadnie szczegółowy. Każde działanie musi być zarejestrowane minuta po minucie - tak aby można było potwierdzić poszczególne etapy zrealizowane w trakcie całego zadania.To właśnie dzięki kryminalistyce komputerowej odkryłem, że większość przebiegłych przestępców gospodarczych słabo zna się na informatyce. Dzięki tej dyscyplinie udaje się znaleźć nie tylko niefrasobliwie porzucone elektroniczne śmieci, które mogą naprowadzić na ślad dowodów, ale wręcz skarbnicę informacji o zwyczajach i zainteresowaniach badanej osoby. Mówi się, że kiedy detektyw specjalizujący się w kryminalistyce komputerowej zbada zakamarki stacji roboczej danej osoby, pozna ją lepiej niż jej własny małżonek.

* System zarządzania dokumentami

Czy kogoś z Was posadzono kiedyś przed górą - dosłownie: górą - papierów, w której mieliście znaleźć kluczową informację?

Warto wyobrazić sobie osobę, która musi codziennie przeglądać stosy papierów w poszukiwaniu kluczowych informacji. Specjaliści czytający akta sądowe, arbitrażowe, dochodzeniowe czy po prostu zapoznający się z jakimś tematem muszą często przewertować setki tysięcy stron informacji. Oto przykład: uczestniczyłem niedawno w sprawie, w której zespół dochodzeniowy musiał przejrzeć 1952 tomy akt, zawierające łącznie 190 000 stron. Po rosyjsku. Taka ilość informacji mieści się na 4 płytach DVD. Załóżmy teraz, że mamy: a) osobę mówiącą po rosyjsku, b) która jest inteligentna i c) czyta średnio 1 stronę na minutę. Oznacza to, że komuś takiemu przeczytanie tych wszystkich informacji zajęłoby 131 dni i nocy, bez przerwy na sen czy odpoczynek. W rzeczywistości jeden człowiek potrzebowałby na przebrnięcie przez ten materiał 393 typowych dni roboczych. Zespół dochodzeniowy w trzy tygodnie zamienił dokumenty na format umożliwiający wyszukiwanie informacji (korzystając z technologii optycznego rozpoznawania pisma - OCR), a następnie za pomocą specjalistycznych narzędzi sprawił, że w całym tym zbiorze danych można było w kilka chwil wyszukać dowolnie wybrane hasło.

Nie wyobrażam sobie, aby jakiekolwiek współczesne śledztwo, prowadzone na podstawie dokumentów papierowych, było logistycznie wykonalne bez użycia technik analizy komputerowej dokumentów.

* Analiza i ekstrakcja danych

Przejdźmy do sedna sprawy. W XXI wieku każdy, kto fałszuje zapisy księgowe, prawie na pewno musi albo "przepuścić" informacje przez systemy informatyczne, albo wydobyć informacje z takiego systemu, aby móc skierować strumień pieniędzy do własnej kieszeni.

Na podstawie tego artykułu można wysnuć wniosek, że specjaliści w dziedzinie technologii kryminalistycznych to maniacy nowoczesnych technologii, którzy pracują po nocach, ubierają się najprawdopodobniej na czarno i z pewnością nie mają zielonego pojęcia o realnym świecie i rządzących nim mechanizmach, jeżeli tylko nie da się ich zinterpretować w postaci kodu binarnego. Spokojnie - naprawdę jest znacznie gorzej. Muszą nie tylko znać się na komputerach, ale także opanować zasady księgowości i złożone systemy obsługi finansowej, (np. SAP). Muszą umieć wydobyć surowe dane i opracować je we własnym środowisku, aby następnie rozpocząć żmudny proces śledzenia, analizowania i zgłaszania konkretnych transakcji. Jednak aby znaleźć te transakcje, muszą pokonać jeszcze jeden etap. Rozumiejąc, jak dany system działa w praktyce i wykorzystując doświadczenie detektywów oraz wiedzę, jaką dysponują jako specjaliści w dziedzinie technologii kryminalistycznych, muszą odkryć plan, dzięki któremu pieniądze mogły "wymknąć się z sieci".

Kiedy wreszcie uda się powiązać elementy planu, detektywi mogą przystąpić do projektowania metod analizy i badania wydobytych i ponownie opracowanych danych - tak aby koncepcje składające się na plan można było ujawnić. I dopiero wtedy, i tylko wtedy, można wziąć się za cyferki i przystąpić do skomplikowanych obliczeń.

Wszystko, co jest w systemie, można odkryć

Tylko pobieżnie zarysowałem temat. Technologia kryminalistyczna to szeroka dyscyplina, którą można stosować w wielu dziedzinach. Wniosek z tego artykułu jest prosty: systemy komputerowe zawierają znacznie więcej informacji, Nie powinno nikomu się wydawać, że są one bezużyteczne tylko dlatego, że zostały ukryte "w systemie".

Autor jest menedżerem w zespole

ds. śledztw i ekspertyz gospodarczych