Informatyk śledczy – zawód, wokół którego narosło wiele mitów, wszystko za sprawą popularnych seriali kryminalnych. Na czym tak naprawdę polega praca informatyka śledczego? Jak się zabezpiecza cyfrowe dowody? Jakie są ścieżki kariery zawodowej? Na te pytania odpowiada Michał Tatar, Mobile Forensics Expert zajmujący się zawodowo informatyką śledczą w firmie Mediarecovery.
Chcesz wiedzieć, jak działa branża IT? Jakie są najpopularniejsze zawody? Czytaj też inne wywiady z cyklu Branża IT dla laików!
Sylwia Błach: Czym się zajmujesz, czyli – czym zajmuje się informatyk śledczy?
Michał Tatar: Wyobraź sobie kogoś, kto lubi rozwiązywać łamigłówki. Taki ktoś jak Sherlock Holmes, ale działający w cyfrowym świecie. Bo informatyk śledczy to nie tylko osoba, która perfekcyjnie rozumie systemy komputerowe i potrafi szeroko interpretować zawarte w nich informacje, ale podobnie jak najsławniejszy detektyw świata, potrafi rozwiązywać postawione zagadki metodą dedukcji oraz umiejętnie łączyć wiele kropek w jeden obraz. Bardzo często informatyk śledczy musi odwoływać się do obowiązującego prawa czy też do innych dziedzin życia, którym czasami daleko jest do informatyki.
Czytaj też: Sztuczna inteligencja w egzekucji prawa. AI zastąpi prawników?
SB: Z jakimi sprawami masz najczęściej do czynienia – kradzież danych, oszustwa, cyberataki?
MT: Spektrum jest bardzo szerokie. To są sprawy, które można uznawać za błahe, czyli klasyczne sytuacje utraty danych z różnych powodów, przez sprawy dotyczące oszustw czy też kradzieży (nie tylko danych, ale też bardzo często dóbr materialnych czy tożsamości w Internecie), a kończąc na sprawach bardzo wymagających, często medialnych, o których każdy z nas słyszy w programach informacyjnych. jeżeli zaś idzie o wspomniane cyberataki, to tutaj należałoby wyjaśnić, iż tego typu sprawy najczęściej są złożone. W praktyce oznacza to, iż informatyka śledcza czyli popularny forensics jest tylko jednym z etapów całej inwestygacji. Tutaj najczęściej występuje potrzeba działań zarówno od strony informatyki śledczej, gdzie naszym celem jest zabezpieczenie informacji oraz ich analiza pod konkretny przypadek, jak i od strony zespołów CSIRT-owych.
Czytaj też: Wybieracie się na koncert? Uważajcie na oszustwo na bilet
SB: Jak wygląda proces „zabezpieczania dowodów cyfrowych” – co to adekwatnie znaczy?
MT: Napisano wiele książek na ten temat, ale spróbujmy wyjaśnić w kilku zdaniach. Zabezpieczenie dowodu cyfrowego rozpoczyna się przede wszystkim od ustalenia, z czym mamy do czynienia. Bo inaczej zabezpieczamy dane z urządzeń mobilnych czy komputerów, inaczej z szeroko pojętej chmury, a jeszcze inaczej np. z samochodów. Aby ułatwić zarządzenie zabezpieczeniem powstało kilka obszarów informatyki śledczej, które skupiają się na konkretnych przypadkach. I tak możemy wymienić np. computer forensics, który dotyczy komputerów. Mobile forensics, który dotyczy urządzeń mobilnych (telefony czy też tablety) czy też np. vehicle forensics, który ma na celu ujawnienie informacji zapisanych w pamięci systemów montowanych w samochodach. Tych obszarów jest oczywiście więcej. W praktyce oznacza to najczęściej zastosowanie odpowiedniej wiedzy i umiejętności oraz dostosowanie odpowiednich narzędzi (sprzętu oraz oprogramowania), aby dane przechowywane w pamięci badanego urządzenia, zostały w poprawny sposób z niego pobrane i zapisane w formie dowodu elektronicznego. Taki dowód cyfrowy tudzież elektroniczny musi spełniać odpowiednie wymagania, aby można było go później używać jako dowód w sprawie.
Czytaj też: Przestępstwa w metawersum, czyli metaverse crime
SB: Czy Twoja praca bardziej przypomina pracę detektywa, czy specjalisty IT?
MT: Zlecone zadania bardzo często przybierają obie wspomniane formy, czyli pracę detektywa oraz informatyka. Część informatyczna będzie polegała na procesach związanych z zabezpieczeniem materiału dowodowego, natomiast czynności detektywistyczne będą dotyczyły poszukiwania konkretnych odpowiedzi. Wtedy działamy właśnie jak Sherlock Holmes i łącząc kropki staramy się rozwiązać „zagadkę”. Oczywiście nie biegamy po mieście i nie chowamy się za drzewami (śmiech)! Przede wszystkim pracujemy przed ekranem komputera i tylko na tym materiale, który został najczęściej przez nas samych zabezpieczony.
Czytaj też: Dane wyciekły z ALAB. Jak sprawdzić, czy jesteśmy bezpieczni?
SB: Jakie narzędzia i oprogramowanie są podstawą w informatyce śledczej?
MT: W naszym laboratorium staramy się wybierać tylko te najlepsze i najbardziej zaufane. Możliwości na rynku jest dużo i są to zarówno narzędzia czy też oprogramowanie komercyjne jak i darmowe. Moje doświadczenie jest takie, iż te komercyjne są najrzetelniejsze. Ale nieważne, jakie wybierzemy. Podstawą jest to, by zadbać, żeby były one dopasowane do sprawy oraz najbardziej aktualne. Chodzi o to, żeby mogły sobie poradzić z coraz to nowszymi wyzwaniami w informatyce śledczej. Nie da się, na przykład, używać starych narzędzi do obsługi najnowszych technologii. To po prostu nie zadziała.
Czytaj też: Awatar za kratkami
SB: Czy osoba bez doświadczenia technicznego może wejść do tej branży, czy to raczej ścieżka dla „geeków”?
MT: To trochę jakby zapytać, czy można zostać mechanikiem samochodowym, bo w przeszłości zbierało się obrazki z gum Turbo. Osobiście wychodzę z założenia, iż wszystkiego się można nauczyć, ale informatyka śledcza jest tak specjalistycznym kawałkiem branży IT, iż zdecydowanie nie jest dla wszystkich. Wymaga bycia na bieżąco, bo technologia się zmienia bardzo dynamicznie. W wielu sytuacjach wymaga umiejętności wyjścia poza schemat oraz radzenia sobie z presją, nie tylko czasową, ale także psychiczną. Informatyk śledczy musi być zawsze bezstronny, ponieważ nie jest od oskarżania ani bronienia kogokolwiek, ale od ustalania faktów. Każdy jest tylko człowiekiem i w wielu sprawach zdarzyło mi się reagować emocjonalnie, bo za wszelką cenę chciałem wymierzyć sprawiedliwość, ale koniec końców muszę przedstawić wnioski oparte wyłącznie na dowodach, choćby jeżeli są w moim odczuciu „niewygodne”. Chociażby z tego powodu nie jest to zawód dla wszystkich.
Czytaj też: Cyberbezpieczeństwo w bankach: technologie przyszłości
SB: Jakie błędne wyobrażenia o informatyce śledczej najczęściej słyszysz – zwłaszcza te inspirowane filmami?
MT: Często słyszę, iż podejmujemy działania, które w rzeczywistości są niemożliwe do zrealizowania. W naszym laboratorium nie realizujemy „CSI: Katowice”. jeżeli mamy za mało danych, by rozwiązać sprawę, bądź też w ogóle nie da się danych pozyskać, bo np. zostały w skuteczny sposób usunięte, to żadne czary-mary czy inny hokus-pokus nie spowodują, iż nagle w cudowny sposób je pozyskamy. Wtedy należy pogodzić się z faktami i oznajmić wprost – nie da się. Choć wielu ludzi uważa, iż „musi się dać bo widziałem to w filmie czy na nagraniu w Internecie”, to rzeczywistość weryfikuje faktyczne możliwości technologiczne.
Czytaj też: Jak stracić twarz w Internecie? Czy wizerunek ma znaczenie?
SB: Jakie cechy charakteru są najważniejsze w tej pracy – cierpliwość, dokładność, umiejętność logicznego myślenia?
MT: Tutaj możemy postawić tezę, iż Sherlock Holmes, ze względu na swoje słabości, nie byłby idealnym kandydatem do tej roboty. Bezstronność i uczciwość to absolutny fundament tego zawodu. Analityczne myślenie, skrupulatność, cierpliwość czy dyskrecja to absolutnie najważniejsze cechy. Dodałbym jeszcze coś, co być może nie jest wcale oczywiste, a jest bardzo istotne. To umiejętność przejrzystego komunikowania, aby być w stanie napisać zrozumiałą opinię czy też wytłumaczyć techniczne kwestie sędziemu, a także umieć bronić przedstawionych wniosków bez emocji. Trzeba zawsze pamiętać o tym, iż Twój raport może wpłynąć na czyjeś życie.
Czytaj też: Ekonomia to bzdura. Jak modele z kryptowalut niszczą wolny rynek
SB: Informatyk śledczy może pracować zarówno bezpośrednio w policji, jak i w korporacji. Może też założyć własną firmę, która laikowi skojarzy się z działalnością detektywistyczną. Czym różnią się te ścieżki i co wpłynęło na Twoją decyzję?
MT: To na pewno indywidualna decyzja każdego. Wiadomo z czym się wiąże kariera policyjna. Nie da się ot tak wejść z ulicy w struktury Policji. Trzeba przejść cały proces. Niejednego to może zniechęcić. Dużo łatwiej jest założyć własną działalność czy też zatrudnić się w prywatnej firmie. Ja wybrałem karierę w sektorze prywatnym, by móc decydować o pewnych aspektach wykonywanej pracy.
Czytaj też: Aplikacja, dzięki której każdy może być policjantem. Przesada?
SB: Jak wygląda kooperacja z Policją, prawnikami czy firmami, które zgłaszają incydenty? Czy z Twojej perspektywy są to „po prostu klienci”, czy ta relacja jest trochę inna, bardziej zażyła albo skomplikowana?
MT: Staramy się zawsze podchodzić do sprawy profesjonalnie i z najlepszą starannością o detale, nie patrząc na to, kto jest klientem. Oczywiście sprawy policyjne są zupełnie inne niż sprawy pochodzące z tak zwanego biznesu. Raczej nie zdarza się zabezpieczanie materiału dowodowego od denata w sprawach z sektora prywatnego. Niejednokrotnie udawałem się w głąb Polski, by razem z różnymi służbami prowadzić działania w terenie, więc tego typu akcje są zupełnie inne niż klasyczna praca w biurze. Relacje z klientami najczęściej są stricte zawodowe.
Czytaj też: Bezpieczeństwo w sieci dla młodzieży – poradnik dla rodziców!
SB: Co się dzieje, gdy już wykryjesz atak albo przestępstwo?
MT: Pracuję w tym zawodzie ponad 15 lat i przez cały czas każda sprawa jest na swój sposób inna i wymaga indywidualnego podejścia, dlatego też przy każdej rozwiązanej sprawie towarzyszy mi uczucie dobrze wykonanej roboty. Chyba ogólne poczucie szczęścia, iż znowu się udało. Dodam, iż czasem brak jednoznacznych dowodów też jest wynikiem śledztwa, więc określenie „udało się” wcale nie musi oznaczać rozwiązania sprawy. To bywa frustrujące, ale tak już po prostu w informatyce śledczej jest.
Czytaj też: Co to jest spoofing? Co zrobić, gdy oszust dzwoni z numeru bliskiej osoby?
SB: Co poradziłbyś osobie, która chciałaby zacząć przygodę z informatyką śledczą?
MT: To adekwatnie najtrudniejsze pytanie, na które muszę odpowiedzieć (śmiech). jeżeli ktoś od zawsze czuł, iż kręci go kino Alfreda Hitchcocka czy literatura Agathy Christie, to jest na dobrej drodze. Do tego jeżeli ktoś ma wykształcenie informatyczne i wolny czas lubi spędzać na okołoinformatycznym geekowaniu, a do tego wszystkiego posiada cechy charakteru opisywane powyżej, to może zacząć myśleć, iż to właśnie jest ten adekwatny zawód.
SB: Dziękuję za rozmowę!
Źródło zdjęcia: archiwum prywatne, fot. Joanna Nowicka
