Tiskane izdaje
Ljubljana – Ob hišnih preiskavah v državnem zboru in na sedežu SDS so se pojavile številne kritike o delu policije, kjer pa poudarjajo, da njihove pristojnosti in postopke pri zasegu elektronskih naprav natančno določa zakon o kazenskem postopku.
Potem ko so kriminalisti in policisti potrkali na vrata parlamenta in na sedež stranke SDS, so se pojavili očitki o zlorabi policije v politične namene, osumljeni poslanec SDS Andrej Šircelj je napovedal celo možnost ustavne pritožbe. »Kriminalistov pri tovrstnih preiskavah ne omejuje le zakonodaja, temveč morajo upoštevati tudi uveljavljena mednarodna načela strokovne forenzike. To je treba upoštevati, da imajo pridobljeni digitalni dokazi tudi pravno veljavnost,« je za Delo pojasnil vodja centra za računalniško preiskovanje na policiji Toni Kastelic, ki se z digitalno forenziko ukvarja že od leta 1999.
Zaseg, zavarovanje, preiskava
Do podatkov na nosilcih digitalnih vsebin lahko policija pride s soglasjem uporabnika oziroma lastnika ali na podlagi sodne odredbe. Digitalna forenzika je po sogovornikovih besedah sestavljena iz treh faz, in sicer zasega elektronske naprave, zavarovanja podatkov, kar po domače pomeni kopiranje, in preiskave podatkov. Naprave so lahko strežniki, ki so velike in težke omare, do čisto majhnih naprav, kot so spominske kartice. »Strežniki kot taki so izjema, takšnim izjemam se prilagajamo. Pri zavarovanju in preiskavi podatkov je treba namreč upoštevati načelo sorazmernosti, kar pomeni, da se čim manj posega v pravice oseb, ki niso osumljenci ali obdolženci,« pojasnjuje Kastelic. Strežniki so sicer različni, lahko gre za poštne strežnike, ki jih uporablja tudi deset tisoč ljudi – takega strežnika kriminalisti ne morejo kar odnesti, saj v tem primeru 9999 uporabnikov ne bi imelo več dostopa do elektronske pošte. »Še en primer je spletni strežnik, iz katerega denimo potrebujemo del podatkov, zato ga ne moramo kar odnesti, saj bi spletna stran 'padla dol', lahko je s tem onemogočeno poslovanje podjetja, lahko na enem strežniku gostuje več podjetij. Lahko je le podatkovni strežnik, na katerem so mešani podatki različnih oseb, različnih podjetij. Vse to pri svojem delu upoštevamo,« pravi Kastelic.
Če ima policija sodno odredbo za zaseg elektronske pošte, skopira profil uporabnikov elektronske pošte. Kadar iščejo konkretno elektronsko sporočilo, je to po Kasteličevih besedah dovolj. Kaj pa v drugih primerih? »Tukaj pridemo do načel forenzike. Kaj je z izbrisanimi sporočili, s skritimi datotekami, tistimi, ki so zavarovane z gesli. Tukaj mora policija v skladu z zakonodajo in pravili stroke narediti vse, da pridobi tudi takšne podatke, pri čemer se v praksi pogosto izkaže, da so ključni podatki skriti prav med temi vrstami datotek. Zato zakonodaja predvideva izdelavo identične kopije nosilca podatkov.«
Pri izdelavi identične kopije se na disk presname vse, od prvega do zadnjega bita na zaseženem nosilcu podatkov. Tudi prazen prostor, saj se je marsikdaj izkazalo, posebno če so osumljenci malce bolj podkovani v računalništvu, da so bile tam izbrisane datoteke.
Pri hišni preiskavi sta poleg osumljenca lahko navzoči dve priči. »Presneti nosilec podatkov damo v škatle, ki se ob zasegu zapečatijo. S tem dokažemo, da v napravo od časa zasega do časa zavarovanja, ko pride v naše prostore, ni nihče dostopal. V fazi odpečatenja in kopiranja podatkov je lahko navzoč osumljenec, njegov zastopnik ali tretja oseba. Osumljeni namreč lahko pooblasti računalniškega strokovnjaka.«
Sledljivost je popolna
Ob zavarovanju podatkov kriminalisti izračunajo tudi kontrolno vrednost in jo uradno vpišejo. Ta zagotavlja, da so podatki identični kot na zaseženem disku. »Če bi na glavni obravnavi zahtevali, da se ponovi postopek preiskave, bi neodvisni sodni izvedenec najprej preveril kontrolno vrednost, ki se mora ujemati z našo začetno, kar dokazuje, da podatki niso bili manipulirani, Če med podatki spremenimo en bit, se spremeni tudi kontrolna vrednost. To je eno od načel forenzike in pravnih norm, ki jih moramo upoštevati,« poudarja Kastelic. Čeprav ima policija zakonsko možnost fizično zaseči celoten strežnik, se do danes to še ni zgodilo.
Policija ima za vse faze digitalne forenzike usposobljen lasten kader, trenutno nekaj več kot 60 zaposlenih, ki se nenehno usposabljajo. Po zasegu in zavarovanju digitalnih dokazov se začne forenzična preiskava, ki se opravi v prostorih policije. »Delovne postaje, namenjene delu z digitalno forenziko, niso povezane v policijsko omrežje, svetovni splet ali kakršnokoli drugo mrežo. So le v internem omrežju,« pojasnjuje Kastelic. Sledljivost je po njegovih trditvah popolna, saj je mogoče za vsak trenutek ugotoviti, kdo se je ukvarjal s podatki, koliko časa in tudi kdaj je forenzik ugotovitve posredoval kriminalistu.
Forenzik med preiskavo lahko vidi za stranke občutljive podatke, saj mora datoteke odpreti, da vidi vsebino. »Če tega ne bi naredil, bi bilo tako, kot če bi pri hišni preiskavi na omari bilo napisano ime druge osebe in bi rekli, da je ne smemo odpreti, v njej pa bi bilo polno mamil. Ampak brž ko ugotovimo, da preiskovani podatki nimajo dokazne vrednosti za kriminalistično preiskavo, se ne uporabijo v nadaljnjem postopku. Enako je, ko se pri preiskavi podatkov ugotovi drug uporabnik. Če ugotovimo, da gre za podatke z dokazno vrednostjo, moramo pridobiti dodatno odredbo ali pa soglasje osebe. Komunikacijska zasebnost je ustavno zajamčena pravica in prek tega ne smemo iti,« sklene Kastelic.
Policija še nikoli ni fizično zasegla celega strežnika
Ob zavarovanju digitalnih podatkov se izračuna kontrolna vrednost, ki je drugačna, če se spremeni en sam bit.
Objavljeno
22. december 2015 10.14
Portret Toni Kastelic, vodja centra za računalniško preiskovanje na GPU, Ljubljana, 18.December2015
[portreti, Toni Kastelic, NPU, GPU, računalniški kriminal, kriminalisti]
