Zobacz wybrane przypadki z Polski:

 

Rozwiązana umowa o pracę

Firma projektowa specjalizująca się w opracowywaniu projektów instalacji hydraulicznych zdecydowała się na rozwiązanie umowy o pracę z jednym z projektantów. Specjalista pracował przy tworzeniu kilku aktualnie realizowanych przez firmę zleceń. W chwili odejścia z pracy wykasował dotychczasowe wyniki swojej pracy, uznając je za swoją własność. Zgodnie z polskim ustawodawstwem efekty pracy wykonanej przez pracownika w trakcie trwania stosunku pracy należą do pracodawcy, nie pracownika. Właściciele firmy projektowej wskutek wykasowania danych narażeni zostali na poniesienie wysokich kar z tytułu niedotrzymania terminów wykonania projektów. Określenie okoliczności wykasowania danych powierzyli specjalistom firmy Ontrack specjalizującej się m.in. w informatyce śledczej. Specjaliści Ontrack wykazali, kiedy i w jaki sposób usunięto dane - informacje te mogły następnie zostać wykorzystane jako środki dowodowe w przypadku skierowania sprawy do sądu. Ponadto udało się odzyskać utracone dane.

Dysk Aleksandry Jakubowskiej i dyski wykradzione z MSZ

Do końca lat dziewięćdziesiątych świadomość istnienia informatyki śledczej była w Polsce niemalże zerowa. Zmiany nastąpiły dopiero wtedy, gdy działania związane z informatyką śledczą (ang. computer forensics) stały się udziałem głośnych medialnie spraw, jak np. afera Rywina czy wykradzenie dysków z Ministerstwa Spraw Zagranicznych. Jednocześnie wydarzenia te pokazały, jak istotna może okazać się praca specjalistów takich firm, jak m.in. Ontrack. W roku 2002 rozpoczęło się śledztwo związane z tzw. aferą Rywina. Jednym z kluczowych dla śledztwa działań było odzyskanie wiadomości pocztowych ze sformatowanego dysku minister Aleksandry Jakubowskiej. Znajdowały się na nim dowody pozwalające prokuraturze na ustalenie przebiegu wydarzeń w jednym z wątków afery korupcyjnej.

Zarząd kontra pracownik

Pracownik jednej z firm został posądzony przez pracodawcę o przeglądanie w czasie pracy stron internetowych o tematyce niezwiązanej z realizowanymi zadaniami. Dowodem miała być wykasowana historia odwiedzanych stron www. Pozycja pracownika w firmie została zagrożona. Oskarżony pracownik, nie zgadzając się z zarzutami zarządu firmy, zdecydował się udowodnić, że nie odwiedzał stron internetowych, które nie miałyby związku z realizowanymi zadaniami. Z analizy dokonanej przez firmę Ontrack, której zlecono dostarczenie informacji o rzeczywistym przebiegu sytuacji wynikało, że w czasie pracy pracownik rzeczywiście nie odwiedzał wspomnianych stron internetowych. Działania Ontrack pozwoliły więc na oczyszczenie go z zarzutów.

Komputer prezesa Wirtualnej Polski

Sprawa komputera prezesa Wirtualnej Polskiej jest przykładem straty jaką poniosła jedna ze stron z powodu braku świadomości istnienia usług informatyki śledczej w Polsce. Większościowy udziałowiec portalu wp.pl zawarł porozumienie z posiadaczami udziałów stanowiącymi mniejszość, w którym zobowiązał się do odkupienia reszty udziałów po upływie określonego czasu. Cena wykupienia udziałów miała zależeć bezpośrednio od ilości użytkowników portalu. Po upływie terminu, w którym miało nastąpić odkupienie udziałów okazało się, że pakiet mniejszościowy był droższy niż łączna kapitalizacja dwóch najbardziej konkurencyjnych portali. Większościowy udziałowiec wycofał się z podjętego zobowiązania. Podjęte zostały działania prowadzące do pogorszenia kondycji finansowej portalu, a w konsekwencji do doprowadzenia portalu do upadłości. Mniejszościowi udziałowcy zdecydowali się na zweryfikowanie zawartości komputera przenośnego jednego z managerów. Komputer zawierający dane, które miały stanowić materiał dowodowy w sprawie, zdeponowano u notariusza. Zanim to jednak nastąpiło osoby te otwarły pliki, w których znajdowały się strategiczne dla sprawy informacje - materiały mające świadczyć o próbie doprowadzenia portalu do upadłości. Niestety otwierając dokument zmieniono jego atrybuty włącznie z datą utworzenia, pozbawiając dokument wartości dowodowej. W przypadku zlecenia takich działań firmie Ontrack specjaliści zabezpieczyliby nośnik, wykonaliby kopię jego zawartości bez uruchamiania plików jednocześnie umożliwiając osobom prowadzącym dochodzenie dostęp do danych. W ten sposób wartość dowodowa zgromadzonego materiału zostałaby zachowana.

Elektroniczne dowody fałszerstw

Do firmy Ontrack trafiło zgłoszenie przesłane przez prokuraturę prowadzącą śledztwo w sprawie fałszowania dokumentów. Podczas przesłuchań trzy zatrzymane osoby posługujące się sfałszowanymi dokumentami przyznały się do winy. Jednocześnie okazało się, że współpracował z nimi informatyk, który przygotowywał w wersji elektronicznej kopie dokumentów tożsamości, zaświadczeń o zatrudnieniu i pieczątek. Po tym zeznaniu prokuratura wydała nakaz aresztowania podejrzanego o fałszerstwo oraz nakazała zarekwirowanie sprzętu komputerowego, z użyciem którego dokonywano fałszerstw. Na porę zatrzymania podejrzanego wybrano wieczór. W czasie interwencji funkcjonariuszy fałszerz dokumentów próbował zniszczyć komputer uderzając nim o ziemię. Jego działania odniosły skutek - dysk twardy z laptopa uległ fizycznemu uszkodzeniu fizycznemu. W takim przypadku jedynym możliwym sposobem odzyskania danych było otwarcie nośnika w laboratoryjnych warunkach oraz wykorzystanie technologii umożliwiającej odtworzenie danych bezpośrednio z otwartego nośnika. W przypadku fałszerza specjaliści katowickiego laboratorium Ontrack odzyskali 74 pliki zawierające wzorce spreparowanych dokumentów. Informacje te posłużyły jako materiał dowodowy w prowadzonym przez prokuraturę dochodzeniu.

Komputer wyrzucony z okna

Osoby, które łamią prawo pilnie strzegą informacji mogących je pogrążyć. Ponieważ wiele takich danych jest archiwizowanych na komputerach (często przenośnych) jednym ze sposobów na oskarżenie podejrzanego jest zgromadzenie elektronicznych dowodów łamania prawa. Przestępcy najczęściej korzystają z komputerów przenośnych. Pozwala im to na ciągły dostęp do ważnych danych. W razie potrzeby jest też łatwiej pozbyć się notebook'a niż setek lub tysięcy kartek papieru. Tak przynajmniej sądził ścigany przez policję przestępca - księgowy jednej z dużych grup przestępczych. Uciekając dotarł na dach budynku i zrzucił z niego komputer przenośny z obciążającymi go informacjami. Ponieważ dane te mogły być decydujące w śledztwie do ich odzyskania zatrudniono Ontrack. Cały komputer po upadku był mocno zniszczony. Jednak z uszkodzonego dysku udało się odzyskać ok. 7 proc. danych. Taka ilość informacji wystarczyła do obciążenia podejrzanego. Odbywa on obecnie karę pozbawienia wolności.

Kradzież i wykorzystanie danych przez konkurencję

Udostępnianie danych osobom, które przeprowadzają dla danej firmy określone projekty może niekiedy okazać się niezwykle ryzykowne. Doświadczyło tego jedno z największych biur projektowych, które na potrzeby realizacji jednego ze swych zleceń postanowiło podjąć współpracę z inną firmą. Miała ona wesprzeć działania biura i wraz z jego pracownikami utworzyć zespół zajmujący się projektem przez następne czternaście miesięcy. Powołany zespół pracował w siedzibie biura projektowego (zleceniodawcy). Dzięki temu pracownicy firmy wspomagającej biuro mieli potencjalną szansę na bezprawny dostęp do wszelkich danych znajdujących się na komputerach ich zleceniodawcy. W trakcie realizacji projektu pracownicy biura przypadkowo odkryli, iż na rynku pojawiły się produkty bazujące na rozwiązaniach technologicznych stworzonych przez nich samych. W tej sytuacji, obawiając się przecieku, przeprowadzono analizę komputerów pracowników, serwerów danych oraz przesyłanych dokumentów. Pozwoliło to na ustalenie źródła przecieku, którym okazał się zespół projektowy, a dokładnie jeden z pracowników firmy zatrudnionej przez biuro. Ustalono, że kilkakrotnie włamywał się on na serwery, gdzie przechowywane były dane pochodzące z innych projektów, po czym przesyłał je na serwery swej macierzystej firmy. Odkrycie tych działań nie byłoby możliwe bez szczegółowej analizy komputerów biura projektowego, dokonanej przez specjalistów i poprawnego zabezpieczenia elektronicznych środków dowodowych, które mogły być użyte w sądzie. Zarazem przypadek ten pokazuje, jak istotne jest zabezpieczenie danych firmy, których wykorzystanie może być w przyszłości przyczyną jej poważnych problemów.

Agencja reklamowa z Krakowa

Pracownik działu sprzedaży jednej z czołowych krakowskich agencji reklamowych założył własną działalność gospodarczą. Dysponując dostępem do zapytań ofertowych kierowanych do agencji przygotowywał konkurencyjne oferty w imieniu własnej firmy oferując organizatorom przetargów ceny niższe niż pracodawca. Właściciele agencji reklamowej zaniepokojeni kolejnym niepowodzeniem zdecydowali o sprawdzeniu jakości pracy swojego pracownika. Dysk twardy komputera pracownika przesłali do laboratorium odzyskiwania danych Ontrack prosząc o odzyskanie wykasowanych informacji. Wśród odzyskanych plików nie znaleziono żadnego dokumentu wskazującego na winę pracownika. Właściciele agencji reklamowej nie poinformowali jednak specjalistów o celu zlecenia, którym było znalezienie dowodów na działanie nielojalnego pracownika - co nie jest równoznaczne z odzyskaniem danych. Sprawa trafiła do działu Ontrack zajmującego się dostarczaniem elektronicznych środków dowodowych. Okazało się, że zleceniodawcy błędnie założyli, iż pliki zostały tylko skasowane. W rzeczywistości na ich miejsce zostały zapisane nowe informacje. W konsekwencji na dysku pozostały tylko fragmenty plików zawierające kluczowe informacje. Wśród odtworzonych informacji znalazły się konta bankowe, na które trafiały pieniądze z przegranych przez agencję, a wygranych przez firmę pracownika kontraktów, części ofert, wiadomości poczty elektronicznej dokumentujące działania pracownika. Informatycy Śledczy Ontrack odtworzyli również część wiadomości wysyłanych z prywatnego konta na komercyjnym portalu internetowym, do którego pracownik logował się bezpośrednio poprzez stronę www, bez pośrednictwa programu pocztowego.

Sprawa gdańskiej gimnazjalistki

Działania związane z informatyką śledczą nie dotyczą jedynie danych zamieszczonych na dyskach twardych komputerów, ale również na takich urządzeniach, jak pamięci flash, bądź telefony komórkowe. W związku ze zwiększającą się liczbą funkcji i pojemności telefonów komórkowych, dane z nich pochodzące mogą stać się cennym źródłem dowodowym, wykorzystywanym w informatyce śledczej. Jednym z takich przypadków była udana próba odzyskania filmu zapisanego na telefonie komórkowym jednego z gdańskich licealistów w roku 2006. Film ten był zapisem napastowania jednej z gimnazjalistek przez grupę jej kolegów, w tym chłopca nagrywającego to zdarzenie podczas lekcji w szkole. Nagranie to zostało następnie opublikowane w Internecie, co mogło być powodem samobójczej śmierci dziewczynki. Po tym zdarzeniu i rozgłosie, jaki został mu nadany w mediach, chłopcy skasowali film. Telefon został jednak zabezpieczony przez policję, której przedstawiciele w toku postępowania przekazali aparat do analizy specjalistom firmy Ontrack. W katowickim laboratorium informatyki śledczej odzyskano wykasowaną zawartość telefonu, w tym nagranie z lekcji. Film został wykorzystany w sprawie.

Nieuczciwi pracownicy

Coraz powszechniejszy staje się ostatnio problem nieuczciwych pracowników. Do najliczniejszych przypadków, którymi zajmują się informatycy śledczy należy m.in. kradzież danych przez nieuczciwych pracowników. Przykładem takiej sytuacji jest jedna z firm informatycznych, zajmująca się tworzeniem i wdrożeniami aplikacji biznesowych. Zespół zatrudniony do obsługi jednego z klientów firmy postanowił przejąć proponowane przez firmę rozwiązania (zespół przygotowywał się do kradzieży kodu źródłowego informacji) i sprzedać je poza nią, po uprzednim zwolnieniu się poszczególnych osób z pracy. Ustalono nawet osobną pulę pieniędzy, która miała być przeznaczona na ewentualną karę nałożoną przez pracodawcę. Propozycję, która miała być tańsza od oryginalnej, złożył jeden z handlowców, będący w bezpośrednim kontakcie z klientem. W wyniku tego klient postanowił zerwać umowę z firmą i skorzystać z tańszej oferty złożonej przez nieuczciwych pracowników. Zaniepokojony takim postępowaniem klienta zarząd firmy postanowił przeanalizować zaistniałą sytuację i w wyniku własnych ustaleń dotyczących handlowca zdecydował się na dalsze kroki - zlecenie firmie Ontrack analizy komputerów, urządzeń PDA oraz telefonów komórkowych należących do zespołu. Podjęte przez specjalistów działania dały pełny obraz nieuczciwych działań pracowników i pozwoliły firmie na wyciągnięcie prawnych konsekwencji w stosunku do zaangażowanych w to działanie osób.

Zobacz wybrane przypadki ze świata:

 

Wybory w USA

W 2000 roku w Stanach Zjednoczonych toczyła się zacięta walka o urząd prezydenta. Wzrok całego świata był skierowany wówczas na Amerykę, gdzie o wynikach miały zadecydować ułamki głosów wyborców. Przełożyło się to na konieczność niezwykle dokładnej analizy głosowania. Pojawiły się wzajemne oskarżenia sztabów i komisji wyborczych o nieprawidłowości w procedurach i błędy w liczeniu głosów. W związku z zaistniałą sytuacją, konsorcjum utworzone przez największe amerykańskie media, zleciło firmie Ontrack weryfikację wyników wyborów w stanie Floryda. Specjaliści Ontrack stworzyli kopie czterech twardych dysków znajdujących się w biurze Katherine Harris - ówczesnego Sekretarza Stanu na Florydzie. Istniało bowiem podejrzenie, że Republikanie użyli komputerów rządowych do prowadzenia kampanii wyborczej. Pracownicy Ontrack przeanalizowali dostępne i odzyskane dane pod kontem 91 słów kluczowych. Po około 20 godzinach firma dostarczyła konsorcjum kompletny raport z działań informatyki śledczej, który pozwolił stwierdzić czy doszło do nieprawidłowości i próby manipulacji głosami.

Jednoczesne zebranie środków dowodowych w trzech różnych krajach

Eksperci działu Ontrack Forensics otrzymali zlecenie tzw. akwizycji danych polegającej na skopiowaniu informacji elektronicznych w taki sposób, aby nie straciły one wartości dowodowej (narzędzia wykorzystywane przez Ontrack pozwalają na zachowanie tzw. sumy kontrolnej. Jej niezmieniona wartość gwarantuje brak ingerencji w zawartość zabezpieczanych plików elektronicznych). Identyczną operację przeprowadzili w tym samym czasie specjaliści Ontrack w Niemczech i we Francji. Zleceniodawcą był zarząd francuskiej firmy farmaceutycznej. Powodem do zatrudnienia "elektronicznych detektywów" było podejrzenie o malwersacje finansowe zarządu polskiego oddziału firmy, którego członkowie otworzyli firmę pośredniczącą w zakupach dla koncernu oferując towary po cenach nierynkowych i powodując w ten sposób powstanie wymiernych strat dla firmy. Operacja zebrania materiałów dowodowych przeprowadzana w każdym z trzech krajów tej samej nocy odbyła się w obecności prawnika, notariusza i służby ochrony mienia. Specjaliści Ontrack skopiowali dane z każdego komputera w firmie oraz z urządzeń służących do archiwizacji danych firmowych. Każde z miejsc pracy zostało sfotografowane. Dane z Niemiec i Polski trafiły następnie do Francji. Podobnie jak dane z siedziby głównej koncernu, zostały poddane analizie. Wynikało z niej, że przypuszczenie działania na szkodę koncernu przez zarząd polskiego oddziału firmy jest prawdziwe. Po analizie wyników analizy zarząd francuskiego koncernu zdecydował się na zmianę całego personelu polskiego oddziału (zarządu i pracowników). Nie wiadomo, czy członkom zarządu wytoczono procesy.

„Bomba” na serwerze

W Stanach Zjednoczonych pewnemu pracownikowi dużej korporacji została wytoczona sprawa o umyślne spowodowanie utraty strategicznych danych jego pracodawcy. Miało to doprowadzić do znacznych strat firmy, a w rezultacie do zwolnienia 100 jej pracowników. W trakcie analizy dokonywanej przez specjalistów Ontrack okazało się, że pracując jeszcze w korporacji, pracownik stworzył program komputerowy, który niszczył dane. Program umieścił na serwerze firmowym. Okazało się, że narzędzie działało na zasadzie bomby zegarowej. "Bombę" aktywował nieświadomie jeden z pracowników, logując się po określonym czasie na serwerze firmowym. Specjaliści wykazali winę zwolnionego pracownika obalając główny argument obrony, jakoby dane firmowe zostały skasowane przypadkowo. Wykazali dodatkowo, że na prywatnym komputerze oskarżonego znajdowały się dane identyczne z tymi, które posłużyły do stworzenia groźnego programu. Po analizie wszystkich danych znajdujących się na serwerach pocztowych oraz koncie pocztowym podejrzanego pracownika specjaliści Ontrack przedstawili materiał dowodowy w sądzie. Dopiero te działania umożliwiły udowodnienie winy pracownika.

Nieuczciwe praktyki Microsoftu

W roku 1997 okazało się, że przeciw informatycznemu gigantowi - Microsoft'owi - toczy się śledztwo mające na celu udowodnienie działań monopolistycznych. Dowodem w śledztwie była wiadomość pocztowa odnaleziona przez specjalistów informatyki śledczej. Odtworzona wiadomość była dowodem na to, że włączenie przeglądarki Internet Explorer do systemu operacyjnego Windows było świadomą decyzją zarządu Microsoft Corporation mającą na celu zdobycie przewagi rynkowej nad konkurencyjnym produktem firmy Netscape. Przypadek ten pokazuje, że nawet taki gigant informatyczny, jak Microsoft nie jest w stanie ukryć swoich danych przed działaniami specjalistów zajmujących się informatyką śledczą.