Przestępca usuwa pliki z laptopa. Polityk kasuje e-maile. Pracownik kopiuje bazę klientów przed odejściem z firmy. Informatyka śledcza (digital forensics) to dziedzina, która sprawia, że skasowane nie znaczy znikło — i która potrafi udowodnić w sądzie, co dokładnie wydarzyło się na komputerze, telefonie lub serwerze.
Co to jest informatyka śledcza
Informatyka śledcza (ang. computer forensics, digital forensics) to interdyscyplinarna dziedzina łącząca informatykę, kryminalistykę i prawo. Jej celem jest zbieranie, zabezpieczanie, analiza i prezentacja dowodów cyfrowych w sposób, który spełnia wymogi prawne — tak, by mogły zostać użyte przed sądem.
Kluczowe zasady różniące informatykę śledczą od zwykłej analizy IT:
- Integralność dowodów — każde działanie jest dokumentowane. Analiza odbywa się na kopii nośnika (obraz bitowy), nie oryginale.
- Łańcuch dowodów (chain of custody) — każdy, kto miał kontakt z nośnikiem, jest odnotowany.
- Odtwarzalność — każdy wniosek musi być możliwy do niezależnej weryfikacji przez innego specjalistę.
Obszary informatyki śledczej
Kryminalistyka dyskowa (disk forensics)
Analiza dysków twardych, SSD, pendriveów i kart pamięci. Obejmuje odtwarzanie usuniętych plików (plik usunięty często pozostaje na dysku do nadpisania), analizę metadanych (data i godzina dostępu, modyfikacji, tworzenia), rekonstrukcję aktywności użytkownika.
Kryminalistyka pamięci (memory forensics)
Analiza obrazu RAM — pamięci operacyjnej komputera. Potrafi ujawnić uruchomione procesy, klucze szyfrowania, hasła, fragment szyfrowanej komunikacji i malware działające tylko w pamięci (fileless malware), które nie zostawiają śladów na dysku.
Kryminalistyka sieciowa (network forensics)
Analiza logów sieciowych, zapisów ruchu (pcap), metadanych połączeń. Pozwala ustalić, z jakimi serwerami komunikował się komputer, jakie dane zostały wysóne lub odebrane.
Kryminalistyka mobilna (mobile forensics)
Wydobywanie danych z telefonów komórkowych — wiadomości SMS, komunikatory, historia połączeń, dane GPS, zdjęcia z metadanymi EXIF (zawierającymi często lokalizację), aplikacje i ich dane. Narzędzia: Cellebrite UFED, Oxygen Forensic.
Kryminalistyka chmurowa
Pozyskiwanie danych z usług chmurowych (Google Drive, iCloud, Microsoft 365) — wymaga współpracy z dostawcą (nakaz sądowy lub European Investigation Order) lub analizy lokalnych artefaktów synchronizacji.
Jak wygląda praca informatyka śledczego
- Zabezpieczenie miejsca zdarzenia — izolacja nośnika, wyłączenie (lub pozostawienie włączonego, zależnie od sytuacji) komputera, dokumentacja fotograficzna.
- Tworzenie obrazu forensycznego — bit-perfect kopia nośnika z weryfikacją hashów (MD5/SHA-256). Narzędzia: FTK Imager, dd.
- Analiza — praca na kopii, nie oryginale. Narzędzia: Autopsy (open-source), EnCase, FTK (Forensic Toolkit), Volatility (pamięć RAM).
- Dokumentacja i raport — szczegółowy raport dla klienta lub prokuratury, gotowy do prezentacji w sądzie.
Zastosowania w Polsce
- Postępowania karne — cyberprzestępstwa, fraud, pornografia dziecięca, stalking, włamania.
- Spory korporacyjne — kradzież tajemnicy przedsiębiorstwa, sabotaż przez pracownika, naruszenie NDA.
- Sprawy pracownicze — udowodnienie lub obalenie zarzutów o wyciek danych.
- Reakcja na incydenty (DFIR) — po ataku ransomware lub APT: ustalenie wektora wejścia, zakresu kompromitacji, osi czasu ataku.
- Due diligence i audyty — sprawdzenie, czy dane organizacji nie wyciekły.
Narzędzia informatyki śledczej
- Autopsy — open-source, platforma do analizy dysków i telefonów.
- EnCase — komercyjny standard, używany przez policje na świecie.
- FTK (Forensic Toolkit) — narzędzie do analizy dysków i e-mailów.
- Volatility — analiza pamięci RAM (open-source).
- Cellebrite UFED — standard do analizy telefonów, używany przez policję.
- Wireshark — analiza ruchu sieciowego.
- Kali Linux — dystrybucja z zestawem narzędzi forensic i pen-test.
Najczęściej zadawane pytania o informatykę śledczą
Czy usunięte pliki można odzyskać?
Często tak. Usunięty plik znika z listy katalogowej, ale jego dane na dysku fizycznie pozostają do nadpisania. Na HDD odzyskiwanie jest skuteczne przez długi czas. Na SSD jest trudniejsze ze względu na mechanizm TRIM i wear-leveling. Czas od usunięcia i stopień aktywności dysku decydują o szansach odzysku.
Czym różni się informatyka śledcza od cyberbezpieczeństwa?
Cyberbezpieczeństwo chroni systemy przed atakami (prewencja i detekcja). Informatyka śledcza analizuje to, co już się wydarzyło (post-mortem) i zbiera dowody. W praktyce obie dziedziny się przenikają — DFIR (Digital Forensics and Incident Response) łączy reagowanie na incydenty ze śledztwem.
Czy dowody cyfrowe są dopuszczalne w polskim sądzie?
Tak, pod warunkiem prawidłowego zabezpieczenia i udokumentowania (łańcuch dowodów). KPK dopuszcza dowody elektroniczne. Biegły sądowy z zakresu informatyki śledczej wydaje opinię techniczną. Jej wiarygodność zależy od metodyki — stąd tak ważna jest praca na kopii, nie oryginale.
Jakie są zarobki informatyka śledczego w Polsce?
Stanowisko junior digital forensics analyst zaczyna od ok. 6 000 PLN brutto. Senior z certyfikatami (EnCE, GCFE, GCFA, CHFI) zarabia 12 000-20 000 PLN brutto i więcej. W korporacjach finansowych i firmach konsultingowych stawki B2B sięgają 200-350 PLN/h. Zapotrzebowanie rośnie.
Jakie certyfikaty są ważne w informatyce śledczej?
EnCE (EnCase Certified Examiner), GCFE i GCFA (GIAC), CHFI (EC-Council), CCE (Certified Computer Examiner). W DFIR: GCIH, GCFE. Dla memory forensics: Volatility certifications. Polskie PISA (Polskie Stowarzyszenie Informatyków Śledczych) prowadzi szkolenia i certyfikacje.
