Tietojen pelastamiseen ja IT-forensiikkaan erikoistuneiden asiantuntijoiden välillä on merkittäviä eroja, mutta myös yhteisiä tekijöitä on paljon. Molemmat etsivät tietoja, jotka eivät ole luettavissa normaaleilla menetelmillä onnettomuudesta tai laitteen käyttäjän toimenpiteistä johtuen.

Tiedonpalautusasiantuntija vastaanottaa asiakkaan tallennusvälineen ja toimeksiannon pelastaa menetetyt tiedostot. Jos kyseessä on suurempi tallennusjärjestelmä, he voivat joutua työskentelemään internetin välityksellä tai suoraan asiakkaan tiloissa. Ensimmäisessä vaiheessa tallennusvälineelle tehdään analyysi, jossa selvitetään tiedostojen pelastamisen mahdollisuudet ja onnistumistodennäköisyys. Analyysistä laaditaan raportti, joka voi sisältää täydellisen listan löydetyistä tiedostoista ja niiden tilasta.

Jos asiakas näyttää vihreää valoa jatkotoimenpiteille, käynnistetään varsinainen tietojen palautustyö. Työmenetelmät, -välineet ja työvaiheet vaihtelevat sen mukaan, mikä tietojen menetyksen aiheutti ja minkälaisesta tallennusvälineestä on kysymys. Jos kyseessä on laiterikko ja tallennusväline voidaan korjata vaihtamalla uusi komponentti viallisen tilalle, sen saattaminen toimintaan on suhteellisen suoraviivaista. Tietojen palauttamiseen erikoistuneilla ammattilaisilla on mittava varaosavarasto laiteohjaimia ja luku/kirjoituspäitä. Sen lisäksi on erittäin tärkeää, että heillä on hyvät yhteydet suoraan laitevalmistajiin.

SSD-levyt voivat olla haasteellisia - kuten kiintolevytkin

SSD-levyissä komponentin vaihto toisesta samanlaisesta SSD-levystä ei aina johda haluttuun lopputulokseen, koska valmistajat voivat käyttää erilaisia komponentteja samankin sarjan laitteissa. Jos perinteinen pyörivä kiintolevy on avattava ongelman selvittämiseksi, toimenpide voidaan tehdä ainoastaan puhdaslaboratoriossa. Levyaseman levypinnoille ei saa päästä yhtään pölyä. Jos pölyhiukkanen ajautuu tuhansia kierroksia minuutissa pyörivän levyn ja luku/kirjoituspään väliin, se aiheuttaa levypinnalle vaurioita, jotka puolestaan tuhoavat tiedostoja. Tilanne vastaa samaa kuin jos Airbus lentäisi täydellä nopeudella metrin korkeudella maasta. Tällöin siirtolohkare tai isohko kivi vastaisi mitoiltaan pölyhiukkasta.

Tiedonpalautusasiantuntijan on kyettävä käsittelemään useita erilaisia ohjelmatyökaluja, mukaan lukien itse kehitetyt työkalut. Tämä sen takia, että tallennusvälineessä voi olla loogisia virheitä, jotka pitää korjata ennen kuin haluttuihin tiedostoihin päästään käsiksi. Tällaisia ovat mm. vioittunut metatieto ja virheet levyaseman perustoimintaa ohjaavissa alemman tason tiedoissa. SSD-levyissä, joissa on laiteohjaimeen integroitu salaustoiminto, edellä mainitut virhetilanteet ovat ongelma. Jos salauksen purkamiseen tarvittava avain ei ole käytettävissä, tiedonpalautusasiantuntija ei yleensä pysty pelastamaan tietoja.

IT-forensiikka - tietotekninen rikostutkinta

Usein tiedonpalauttamisen asiantuntija on mukavammassa asemassa IT-forensiikkatutkijoihin nähden. Forensiikkapalveluita tarvitsevat asiakkaat ovat yleensä hyvin yhteistyökykyisiä ja myöntävät pääsyn kaikkiin tarvittaviin tietoihin ja järjestelmiin. Kun kyseessä on rikostutkinta, kaikki on toisin. Toisinaan tallennusvälineeseen tallennettuihin tietoihin pääsy edellyttää hakkerointimenetelmiä.

Tiedonpalautusasiantuntijan - joka ei ole vähääkään kiinnostunut tallennetun tiedon sisällöstä - tekniikoiden ja menetelmien hallitsemisen lisäksi IT-forensiikkatutkijan pitää noudattaa tarkasti määritettyä tutkintaprosessia ja dokumentoida todistusaineisto, jonka perusteella tuomioistuin voi selvittää käsiteltävän tapahtuman kulkua. Tutkinnassa noudatetaan ns. ”chain of custody” -prosessia todistusaineiston oikeellisuuden varmistamiseksi. Tutkintaraportti voi sisältää tietoa esimerkiksi rikoksentekijän henkilöllisyydestä tai tunnistamisesta, rikoksen suorittamisen ajankohdasta ja laajuudesta sekä tietoa rikoksen motiiveista ja toteutustavoista.

Monissa Euroopan maissa ja Amerikan mantereella on jo useita yliopistoja ja korkeakouluja, jotka tarjoavat erilaisia forensiikkaan liittyviä kursseja tai jopa koko lukukauden mittaisia luentokokonaisuuksia osana oppilaitoksen IT-koulutusohjelmaa. Kyseessä on erittäin tekninen rooli. Alan aloittelijoilta odotetaankin usein tietojenkäsittelytieteen tai -tekniikan alempaa korkeakoulututkintoa, jossa kyberturvallisuuden, digitaalisen forensiikan tai vastaavan opinnoilla on suuri arvo. Jotkut jo alalla työskentelevät asiantuntijat ovat entisiä poliiseja tai muita lainvalvontaviranomaisia, jotka ovat aiemmassa työssään tutustuneet verkkorikollisuuteen.

Oikeudellisissa prosesseissa rikosteknisen asiantuntijan on kyettävä toimimaan esittelijänä, mikä tarkoittaa, että hänen pitää pystyä kuvaamaan työnsä selkeästi ja ymmärrettävästi. Yksityisen sektorin toimeksiantoja ei läheskään aina viedä oikeuskäsittelyyn tai tuomioistuimeen. Monesti erimielisyydet ratkaistaan osapuolten välisissä neuvotteluissa, joissa lakimiehet hyödyntävät forensiikkatutkimusten tuloksia.

Nykyajan johtavat rikostekniset asiantuntijat ovat päätyneet työhönsä alun perin ihan muulta alalta. Opiskeluajan hakkerinmetsästysharrastuksesta on tullut heille ammatti. Forensiikka-asiantuntijan on mietittävä asioita monesta näkökulmasta, hahmotettava erilaisia tapahtumaketjuja isoista määristä koodia ja ajateltava luovasti. Kuten yksi turvallisuusasiantuntija ytimekkäästi sanoi, "Tarvitsemme artisteja".

Kun asiakas lähestyy tiedonpalautus- ja forensiikka-alan palveluja tarjoavaa asiantuntijaa, on erittäin tärkeää kertoa omat tarpeensa ja tavoitteensa heti alkukeskustelussa. Palvelujen tietojen käsittelyyn liittyvät prosessit ovat luonteeltaan ja sisällöltään hyvin erilaiset ja etenkin tiedonpalautuspalveluna aloitettu toimeksianto on vaikea tai jopa mahdoton muuttaa myöhemmin muodollisesti oikein suoritetuksi forensiikkapalveluksi.

Picture copyright: geralt/pixabay.com

CC0 Lizenz