Mam wrażenie, że termin computer forensics jest wciąż dla wielu menedżerów niezbyt znany.

Zgadza się. Ja osobiście preferuję określenie informatyka śledcza, jakie zacząłem propagować, i - powiem nieskromnie - uważam się za jego autora (śmiech). Czasem zamiennie stosuje się także określenie kryminalistyka informatyczna. Niemniej jednak sam proces dla większości polskich przedsiębiorstw jest obcy. Przy tak ogromnym napływie i roli informacji we współczesnym życiu gospodarczym trochę mnie to, przyznam szczerze, dziwi. Są jednak wyraźne oznaki ożywienia. Żeby zobrazować, jak duży potencjał rynku jest jeszcze niewykorzystany, powiem, że jeśliby naprzeciwko naszej siedziby otworzyła podwoje firma świadcząca dokładnie takie same usługi, nie bałbym się konkurencji. Wręcz przeciwnie - pewnie moglibyśmy nawet współpracować.

Kto najczęściej zwraca się do Państwa o pomoc?

Przede wszystkim tak zwani klienci profesjonalni - prokuratura, policja. Uczestniczymy nawet aktywnie w procesie szkolenia tych służb. To bardzo cieszy, gdyż odpowiednie przechowywanie i pozyskiwanie dowodów nie jest łatwe. Obecnie często zdarza się, że na skutek niewłaściwego zabezpieczenia nośnika danych (np. dysku twardego), nawet zawierającego niemal niezbite dowody winy, materiał dowodowy zostanie odrzucony przez sąd. Wiedza na temat informatyki śledczej wymaga nieustannego podnoszenia kwalifikacji tych służb.

Czego dotyczą najczęściej prowadzone przez Pana firmę sprawy?

Struktura zapytań wciąż się zmienia. Najczęstsze dotyczą piractwa komputerowego i przestępstw gospodarczych. Coraz częściej pojawiają się sprawy dotyczące fałszerstw i, niestety, zauważamy też rosnący trend spraw dotyczących pedofilii. Staramy się pomagać wszystkim instytucjom, które z nią walczą, bo tych przestępstw jest coraz więcej. To trudny temat. Proszę sobie wyobrazić, że jeden z naszych pracowników, zatrudniony przy wyjątkowo drastycznych zleceniach tego typu, poprosił o konsultacje psychologiczne. To pokazuje, jak trudna jest nasza praca, nie tylko z powodu stopnia skomplikowania, ale także wymiaru etycznego.

W przypadku zleceń komercyjnych, gros spraw dotyczy nieuczciwości pracowników bądź zarządów. Spotykamy się ze sprawami np. podwójnego fakturowania czy szpiegostwa przemysłowego. Wiele spraw dotyczy też crackingu, hackingu i nielegalnej dystrybucji software'u. Generalnie - utrata danych może być bardzo bolesna finansowo. Bywa też tak, że jakaś firma po raz kolejny przegrywa przetarg na budowę biurowca. Okazuje się, że jej pracownicy w tajemnicy przed właścicielami sprzedali ofertę konkurencji za ułamek wyjściowej ceny. Badaliśmy kiedyś przypadek odejścia pracowników z jednego z biur konstrukcyjnych. Wynieśli oni dorobek firmy z kilkunastu ostatnich lat, w tym projekty bardzo zawansowanych technologicznie (i kosztownych) maszyn. Sprawa przeciwko nim, która trafiła do sądu, wyszła na jaw, gdy zaoferowali oni za projekt cenę o połowę niższą od powszechnie obowiązującej. Zbierając informacje z komputerów w tej firmie, odzyskując dane już skasowane, analizując informacje z poczty elektronicznej i archiwów komunikatorów internetowych, odtworzyliśmy całą historię przestępstwa. Mogliśmy nawet ustalić, na której nagrywarce została zapisana dana płyta CD/DVD. Znajdujemy dowody świadczące o działaniu na szkodę firmy w skrzynkach e-mailowych, archiwach komunikatorów, telefonach komórkowych itd.

Z tego wynika, że nie ma danych nie do odzyskania. To prawie science fiction.

Po pierwsze, większość użytkowników komputerów ma błędne przeświadczenie, że - np. serfując w sieci, a nawet kasując dane, by zatrzeć swoje działania w systemie informatycznym - pozostają anonimowi. To bardzo mylne, ale dobre dla nas - przekonanie. Trzeba naprawdę dużej wiedzy, by zniszczyć swoje elektroniczne ślady. Generalnie wydaje mi się, że istnieje niewielu ludzi obecnie potrafiących to zrobić skutecznie. Złota era hackingu już się raczej skończyła. A raczej zmieniła się w biznes. Często na tyle opłacalny, by zainteresować tym tematem przestępczość zorganizowaną - ale to już absolutnie inny poziom. Przecież obecnie dane stanowią dla niejednej firmy podstawowy kapitał. Jednak jeśli chodzi o nasze możliwości śledcze, to ich skuteczność wynika też z samej specyfiki informatyki śledczej. Tu nie chodzi o odzyskanie jak największej ilości danych (choć i tego rodzaju usługami się zajmujemy). W informatyce śledczej być może z całego materiału ważny jest tylko fragment: dwa zdania, numer telefonu czy konta, jeden adres e-mail, kilka zdjęć. To już wystarczy. W informatyce śledczej już 1% odzyskanych danych może być stuprocentowym sukcesem.

W związku z tym nie powinniście się Państwo obawiać braku klientów.

W przypadku zleceń komercyjnych trudność jest taka, że nie możemy zaprezentować imponującej listy referencyjnej. Żadna szanująca się firma nie pochwali się, że utraciła krytyczne dane. Choć zdarzają się spektakularne i głośne sprawy. Na przykład z Softbanku odeszła kilkunastoosobowa grupa pracowników. Wraz z nią firma straciła kontrakt z Raiffeisen Zentralbank Osterreich. Śledztwo informatyczne wykazało oczywiste działanie na szkodę spółki. Jeśli kierownictwo jest czujne, potrafi błyskawicznie zareagować, sprawę najczęściej udaje się szybko zamknąć na korzyść klienta. Niemniej jednak w Polsce największym problemem wciąż pozostaje nikła świadomość oferowanych przez firmy świadczące podobne jak my usługi i możliwość ich outsourcingu. A przecież o wiele łatwiej byłoby zapobiegać, niż leczyć.

To znaczy, że polityka computer forensics pomaga ustrzec się przed takimi wydarzeniami jak opisane przez Pana?

Oczywiście. To, co proponują firmy zajmujące się informatyką śledczą, to także zapobieganie wypływaniu informacji z firmy, m.in. poprzez instalowanie odpowiednich systemów bezpieczeństwa. Przykładowo mogą one zaalarmować administratora, gdy pracownik chce skopiować informacje na włożony do swojego komputera dysk USB, do czego nie ma prawa, a nawet drukuje dane, które są oznaczone klauzulą zabraniającą tego. Proszę pamiętać, że największa część tego typu spraw wynika z woli człowieka. Inny sposób ochrony interesów firmy to, np. odpowiednie skonfigurowanie zabezpieczeń systemów informatycznych. Duże systemy informatyczne mogą generować dziennie nawet parędziesiąt tysięcy komunikatów o naruszeniu norm bezpieczeństwa. Jak w takim natłoku danych rozpoznać wynikłe z naturalnego biegu rzeczy - np. błędne zalogowanie się na komputerze czy przypadkowe zainstalowanie niechcianego oprogramowania z sieci, od tych mogących świadczyć o próbie włamania lub celowym działaniu pracownika na szkodę firmy? Outsourcing takich procesów może być rozwiązaniem.

Biorąc pod uwagę charakter Państwa działalności, kojarzącej się z pracą na bardzo poufnych - a często nawet niebezpiecznych - danych, spodziewałem się, że znajdę Pana firmę raczej w bunkrze, nie w zabytkowej willi.

Owszem, zajmujemy się bardzo poważnymi sprawami, ale nie można popadać w skrajności. Mamy wszystkie odpowiednie zabezpieczenia i certyfikaty pozwalające nam na pracę nad poufnymi danymi. Przestrzegamy także rygorystycznie naszej polityki bezpieczeństwa, mamy pion ochrony, a wszystkie osoby pracujące w firmie podpisały dokumenty o zachowaniu poufności na dziesięć lat. Zdarzają się jednak na tyle ważne sprawy, że np. w trakcie odzyskiwania danych z dysku nad pracownikiem stoi funkcjonariusz wyznaczony przez prokuraturę. Czasem materiał dowodowy przyjeżdża samochodem ciężarowym i z uzbrojoną obstawą. Najważniejsze jest jednak zachowanie w tajemnicy działań związanych z informatyką śledczą.

Dziękuję za rozmowę.
Sebastian Kanikuła