BT Hizmet Sağlayıcınız Dijital Adli Tıp Uzmanı DEĞİLDİR

Bir şirket, kendisine ait dijital varlıkların korunmasını ve analiz edilmesini gerektirebilecek çok sayıda durumla karşılaşabilir. Örnekler arasında hem iç hem de dış kuvvetler yer alır:

İç ve Dış Kuvvet Örnekleri

Dahili Soruşturmalar

Taciz (hem cinsel hem de genel), çalışanların görevi kötüye kullanması, veri veya mülk hırsızlığı, zimmete para geçirme, mali dolandırıcılık, ayrımcılık, misilleme, işyerinde şiddet ve şirket politikasının ihlalleri dahil olmak üzere insan kaynaklarını ilgilendiren dahili soruşturmalar. Müşterinin kişisel olarak tanımlanabilir bilgilerinin (PII), korunan sağlık bilgilerinin (PHI) ve/veya özel verilerin çalınmasına yol açan ağınızın ihlali.

Harici Soruşturmalar

Devlet soruşturmaları cezai (şirketi veya bireysel çalışanları hedef alan), hukuki veya bazen ihbarcılar tarafından başlatılan Qui Tam eylemlerini içerebilir. Bu araştırmalar aynı zamanda fikri mülkiyet anlaşmazlıkları veya davalarıyla da ilgili olabilir. Bu tür harici araştırmalar, sunucular, dizüstü bilgisayarlar, cep telefonları ve e-posta gibi şirkete ait dijital cihazlarda tutulan verilere yönelik davaya yönelik muhafaza uygulanmasını gerektirebilir.

Bu gibi durumlarda, dijital kanıtları korumak ve analiz etmek için şirket içi BT uzmanlarınıza veya sözleşmeli üçüncü taraf BT tarafından yönetilen hizmet sağlayıcılara güvenmenin zamanı değil. Bir BT uzmanı, ağ mühendisliği, kullanıcı yönetimi, e-posta ayarları ve kullanıcı yardım masası desteği konularında bilgili ve deneyimli olsa da, genellikle ceza ve hukuk muhakemesi kuralları, kanıta dayalı kurallar, dijital adli bilişim edinimi ve analizi konularında bilgili değildir. Bunların hepsi dijital delillerin mahkemeye sunulması için gereklidir.

Örnek Sahne

Eğitimli bir dijital adli tıp uzmanının hizmetlerinden yararlanmak yerine BT departmanınızın kanıt toplamakla görevlendirildiği bir durumu hayal edin. Örneğin, finans departmanınızdaki bir çalışanın, fonları zimmete geçirmek amacıyla sahibi olduğu bir şirkete sahte faturalar hazırladığından şüphelendiğinizi varsayalım. Dahili soruşturmanın bir parçası olarak, şirkete ait dizüstü bilgisayar ve cep telefonları BT departmanı tarafından alındı ​​ve kilidi olmayan bir dolapta saklandı. Şirket danışmanı onlara öğeleri kanıt olarak incelemeleri talimatını verir. BT uzmanı dizüstü bilgisayarı açar, çalışanın kimlik bilgilerini girer ve bilgisayarda gezinmeye başlar; dosyaları inceler ve BT uzmanının dizüstü bilgisayara bağladığı harici flaş sürücüyle ilgili her şeyi dışa aktarır. Benzer şekilde cep telefonuna PIN kodunu girerler ve kısa mesajları, uygulamaları, videoları, fotoğrafları vb. manuel olarak incelemeye başlarlar. BT uzmanı ayrıca telefonda ilgili herhangi bir şeyin ekran görüntülerini alır ve bunları telefona veya e-posta adresine gönderir.

Yukarıdaki senaryo yanlış adımlarla doludur. Bunları parçalayalım:

• Hiçbir gözetim zinciri kurulmamıştır: Dizüstü bilgisayar ve cep telefonu, herhangi bir yazılı belge olmaksızın kilidi açık bir dolaba yerleştirildi. Cihazların markası, modeli, seri numarası gibi veya bunların kontrolünün kimin eline geçtiğine dair herhangi bir kayıt bulunmuyor. Dolabın kilidi açık olduğundan cihazlara birden fazla kişi erişmiş olabilir. Ve hiçbir tanımlayıcı bilgi kaydedilmediğinden, daha sonra BT uzmanı tarafından incelenen cihazların orijinal olarak saklanan cihazlarla aynı olduğunu doğrulamanın bir yolu yoktur. Verilerin değişmediği veya cihazlara müdahale edilmediği de kesin olarak söylenemez.
• Eğitim yok: BT uzmanı muhtemelen bilgi teknolojisi alanında eğitim ve sürekli eğitime sahip olsa da, muhtemelen dijital adli tıp alanında resmi eğitim, öğretim ve deneyimden yoksundur. Dijital adli tıp hem kamu hem de özel sektörde uzmanlaşmış bir alandır. Bu alandaki incelemeciler, yerleşik adli tıp protokollerini kullanarak verileri değiştirmeden veya çok az düzeyde kullanarak dijital cihazlardan kanıt elde etmek üzere eğitilir. Dijital adli tıp incelemecilerinin kullandığı prosedürler ve süreçler, kurtarılan delillerin mahkemede kabul edilebilir olmasını sağlar.
• Dizüstü bilgisayar ve cep telefonundaki veriler yok edildi: Yukarıda özetlendiği gibi BT uzmanının attığı adımlar, hem dizüstü bilgisayardaki hem de cep telefonundaki verilerin yok edilmesiyle sonuçlandı. Dizüstü bilgisayarda, son oturum açma tarihi/saati, sistem kapatma tarihi/saati, dosya tarihleri/saatleri, Windows Olay günlükleri ve bir dizi Windows Kayıt Defteri dosyası dahil ancak bunlarla sınırlı olmamak üzere çok sayıda adli yapı onarılamaz şekilde değiştirildi. Cep telefonuna gelince, dinamik hafıza sürekli olarak verileri taşıyor ve silinen verilerin üzerine yazıyor. Ekran görüntüsü almak veya metin ve e-posta göndermek gibi eylemler, telefondaki verileri değiştirir. Silinenlerin üzerine yazabilen, veritabanlarına girişler ekleyebilen (boyut sınırlamaları olabilir) ve eski veritabanı girişlerini dışarı aktarabilen yeni dosyalar (fotoğraflar, kısa mesajlar ve e-postalar) ekler.

Paket servis

Yukarıdaki tüm nedenlerden dolayı, BT uzmanı tarafından geliştirilen herhangi bir delilin ceza veya hukuk davalarında kabul edilememesi kuvvetle muhtemeldir. Karşı tarafın avukatının delillere itiraz etmek için güçlü gerekçeleri olacak ve yargıç muhtemelen onların lehine karar verecektir. Bu nedenle, şirketinizin (veya temsil ettiğiniz şirketin) şirkete ait dijital cihazları dahili veya harici bir inceleme için koruması gerekiyorsa, bu görevi bir BT uzmanına atayarak işin kolayına kaçmayın. Bunun yerine, şirkete ait dijital varlıklara ilişkin kritik kanıtların korunmasına yönelik prosedürler de dahil olmak üzere dahili soruşturmaların yürütülmesi için net bir plan yapın. Verilerin değiştirilmesi veya yok edilmesi ve dolayısıyla delillerin bozulması riski çok yüksek olduğundan ve şirketi olası sonuçlara açık hale getirdiğinden, bu görev eğitimli bir dijital adli tıp uzmanı tarafından gerçekleştirilmelidir.

BT Hizmet Sağlayıcınız Dijital Adli Tıp Denetçisi DEĞİLDİR yazısı ilk olarak Withum'da çıktı.