Maciej Szmit Z całą sumiennością i bezstronnością, czyli o informatyce sądowej
__________________________________________________________________________________________
Z całą sumiennością i bezstronnością, czyli o informatyce sądowej
dr Maciej Szmit*
„Kto chodzi na skróty ten w domu nie nocuje."
(przysłowie góralskie)
Sala sądowa jest miejscem specyficznym. Można tu zobaczyć zarówno gorące emocje jak i zimne wyrachowanie, usłyszeć o wydarzeniach doniosłych i błahych, spotkać wysokiej klasy fachowców i - no powiedzmy, że i inne osoby też. Last but not least, jest sala sądowa dla informatyka miejscem obcym, nawet jeśli zdarzyło mu się na niej znaleźć w roli biegłego. Również badanie sądowoinformatyczne, nawet wykonywane we własnym laboratorium, jest czymś innym niż praca zawodowego administratora czy hobbystyczny hacking (w pozytywnym tego słowa znaczeniu) systemów operacyjnych i aplikacji. Poniższe uwagi i przypadki - zebrane z praktyki autora niniejszego tekstu - prezentują kilka nieprzyjemnych sytuacji, w których biegły może się znaleźć, jeśli nie zachowuje właściwej staranności.
Kontaminacja materiału badawczego
Większość opinii, z którymi spotykają się biegli informatycy, dotyczy postępowania przygotowawczego, czyli prowadzonego przez prokuraturę (bądź przez policję lub inne uprawione służby) śledztwa lub dochodzenia. Z punktu widzenia biegłego sytuacja jest tu komfortowa: gospodarzem postępowania jest prokurator, obowiązuje przede wszystkim zasada prawdy materialnej, biegły ma zupełną swobodę w składaniu wniosków dotyczących ewentualnego uzupełnienia materiału badawczego. W zasadzie - poza błędami technicznymi - trudno biegłemu popełnić jakieś poważniejsze uchybienie, jeśli tylko wykonuje swoją pracę z należytą starannością. Bliższego omówienia wymagają przede wszystkim dwie sytuacje: stwierdzenie przez biegłego zanieczyszczenia (zwanego czasem „kontaminacją") materiału dowodowego oraz znalezienie śladów przestępstwa innego niż objęte postępowaniem przygotowawczym.
Prokuratura dostarczyła do badania komputer osoby podejrzanej o rozpowszechnianie pornografii dziecięcej oraz akta śledztwa. W aktach śledztwa, oprócz informacji o dacie i godzinie przeszukania i zatrzymania rzeczy, znajdował się między innymi protokół oględzin, z którego wynikało, że komputer był poddany - w kilka miesięcy po zatrzymaniu - trwającym godzinę oględzinom wykonanym przez specjalistę policyjnego. W protokole nie zapisano, na czym owe oględziny polegały. Z analizy logów w komputerze wynikało, że komputer był od chwili policyjnego przeszukania uruchamiany kilkukrotnie w kolejnych dniach. Policyjny „specjalista" za pomocą hakerskiego oprogramowania, (pracując „na żywca", czyli na zabezpieczonym - choć to słowo już nie bardzo tu pasuje - sprzęcie) wyzerował hasła użytkowników, następnie zalogował się na poszczególne konta przeglądając z nich różne pliki i uruchamiając różne programy. Efektem tych działań było oczywiście zamazanie części historii użytkowania komputera, zmiany czasów MAC, zawartości pamięci wirtualnej itd. Biegły stanął przed pytaniem, czy na podstawie zachowanych po tym „szczątkowym śledztwie" danych można spróbować mimo wszystko wydać opinię?
_____________________________
* dr Maciej Szmit - adiunkt w Katedrze Informatyki Stosowanej Politechniki Łódzkiej oraz wykładowca w Poznańskiej Wyższej Szkole Biznesu i biegły sądowy w zakresie informatyki z listy prezesa SO w Łodzi, członek Izby Rzeczoznawców Polskiego Towarzystwa Informatycznego oraz przewodniczący Sekcji Informatyki Sądowej tegoż Towarzystwa
Powołując się na zasadę „in dubiis abstine”[1] biegły nie wydał opinii, uzasadniając to w sposób następujący:
- nastąpiło zerwanie ciągłości łańcucha dowodowego przez nieudokumentowane operacje na nośniku,
- wprowadzono szereg zmian danych zapisanych na nośniku, materiał badawczy został w znacznym stopniu zanieczyszczony,
- osoba prowadząca oględziny wykazała się nie tylko skrajnym brakiem wiedzy, ale i prawdopodobnie dopuściła się czynów karalnych, fałszując dokumenty śledztwa (w protokole oględzin podano nieprawdziwe informacje na temat czasu i ilości uruchomień komputera), jak również uzyskując dostęp do informacji poprzez nieuprawnione przełamanie zabezpieczeń informatycznych, wobec czego nie można w sposób uzasadniony przypuszczać, że pozostałe znajdujące się na nośniku treści są tożsame z treściami znajdującymi się na nim w chwili zabezpieczenia materiału dowodowego.
Prokurator prowadzący postępowanie podzielił opinię biegłego. Trwające dwa lata postępowanie zostało umorzone, a policyjny „specjalista" został ukarany karą dyscyplinarną.
W polskim prawie nie istnieje - znana z amerykańskich filmów - formalna teoria dowodowa, wraz z zasadą owoców zatrutego drzewa. Każdy dowód, również dowód uzyskany z naruszeniem przepisów prawa, podlega swobodnej ocenie przez organ procesowy. Niemniej biegły jako źródło dowodowe ma obowiązek dostarczać opinię (która sama w sobie jest środkiem dowodowym) - jak to mówi rota przyrzeczenia biegłego - z całą sumiennością i bezstronnością. W szczególności, jeśli stan materiału dowodowego przekazanego do badań uniemożliwia wydanie opinii o jakimkolwiek stopniu stanowczości wniosków zadaniem biegłego nie jest dywagowanie na temat ewentualnych możliwych sytuacji, ale poinformowanie gospodarza postępowania o istniejącym stanie rzeczy. Opinia biegłego będzie sama w sobie przedmiotem oceny przez organ prowadzący postępowanie, który może się z wnioskami biegłego nie zgodzić, powołać innego biegłego, a w skrajnym przypadku, wyciągnąć w stosunku do biegłego czy specjalisty konsekwencje prawne.
Ujawnienie śladów innego przestępstwa
Drugą sytuacją spotykaną stosunkowo często przy opiniowaniu w postępowaniu przygotowawczym jest natknięcie się w czasie badania na ślady przestępstw innych niż ujawnione w dotychczas prowadzonym postępowaniu. W zasadzie biegły jest ograniczony w wydawaniu opinii jej zakresem (danym treścią postanowienia o zasięgnięciu opinii biegłego), niemniej w literaturze przedmiotu panuje zgodność co do tego, że w przypadku natknięcia się na ślady innych przestępstw, powinien o nich powiadomić odpowiedni organ. Nie uprawnia to biegłego do samodzielnych badań wykraczających poza dany postanowieniem zakres opiniowania (np. przeglądania e-maili podejrzanego czy odzyskiwania usuniętych plików, jeśli w postanowieniu nie nakazano takich badań). Jeśli będzie taka potrzeba, organ prowadzący postępowanie wyda postanowienie o uzupełnieniu postanowienia. Oczywiście, aby znaleźć poszukiwane treści, należy przejrzeć całość badanego nośnika, dlatego też - to uwaga raczej dla prokuratorów - w postanowieniu o powołaniu biegłego należy dokładnie opisać, co biegły ma zrobić („przeanalizować wszystkie pliki znajdujące się na dysku", „przeanalizować wszystkie pliki znajdujące się na i możliwe do odtworzenia pliki usunięte z dysku", „przeanalizować wszystkie wychodzące listy e-mail" itd.).
Biegły otrzymał do analizy z policji dysk twardy komputera osoby podejrzanej o oszustwo w serwisie aukcyjnym. Zgodnie z dobrymi praktykami, przygotował dwie kopie bitowe dysku na czystym nośniku zewnętrznym, po czym dalszą analizę prowadził już na kopiach. W trakcie analizy okazało się, że na nośniku znajdują się dokumenty opatrzone klauzulami tajności. Biegły przerwał analizę nośnika, poinformował prokuratora nadzorującego postępowanie oraz spisał protokół, w którym opisał dokładnie stanowisko badawcze oraz przyjęty sposób badania. Oryginał dysku jak również należący do biegłego nośnik, na którym znajdowały się wykonane kopie, zostały zaplombowane i przekazane do Agencji Bezpieczeństwa Wewnętrznego, która przejęła postępowanie.
Powyższy przykład pokazuje dobitnie, dlaczego kopie należy wykonywać zawsze na czyste nośniki (po zakończonym badaniu należy używane przez biegłego nośniki dokładnie wyczyścić, to jest sformatować zerując zawartość wszystkich sektorów) i dlaczego do badań nie należy posługiwać się osobistym laptopem, ale mieć odpowiednie stanowisko badawcze oraz odpowiedni zapas zewnętrznych nośników. Zajmuje to dużo czasu i owocuje dodatkowymi kosztami, ale kto chodzi na skróty...
Oględziny dowodu cyfrowego w postępowaniu sądowym w sprawie karnej
Bywa, że biegły wydaje opinię w sprawie karnej już w trakcie postępowania sądowego. Zdarza się to zazwyczaj w przypadku, gdy pojawiają się wątpliwości wymagające wiadomości specjalnych. Niestety bywa i tak, że przed sądem okazuje się, że nie zabezpieczono bądź nie przeanalizowano właściwie dowodów cyfrowych podczas śledztwa czy dochodzenia. To ostatnie oznacza dla biegłego prawdziwą drogę przez mękę. O ile bowiem w postępowaniu przygotowawczym sporo czynności przeprowadza policja, tyle przed sądem obowiązują zasady jawności, bezpośredniości i równości stron.[2] Konsekwencją jest konieczność realizowania wszystkich czynności w trybie posiedzeń wyjazdowych sądu. Nie ma - lubianego przez niektórych - trybu oględzin przez samego biegłego informatyka. I choć niektóre sądy próbują posyłać samego biegłego, żeby dokonał oględzin np. systemu komputerowego w siedzibie firmy, należy grzecznie acz stanowczo odmówić, ten bowiem rodzaj chodzenia na skróty jest szczególnie ryzykowny.
Przede wszystkim biegły jest niesamodzielnym organem wymiaru sprawiedliwości, narzędziem sądu, nie ma więc żadnych kompetencji decyzyjnych odnośnie chociażby zabezpieczania śladów dowodowych. Nie może wynieść komputera z firmy za pokwitowaniem na podstawie własnego widzimisię. Ryzykowne jest również wykonywanie jakichkolwiek analiz na miejscu - zgodnie z prawami Murphy'ego badany komputer popsuje się akurat podczas wizyty biegłego i to on poniesie wszelkie, również finansowe konsekwencje jego naprawy. Poza salą sądową, a dokładniej poza czasem trwania czynności procesowych (samodzielne wyprawy biegłego „po śladach" takimi nie są), biegły nie podlega żadnej dodatkowej ochronie. Co więcej: ktoś wskaże biegłemu o jaki komputer chodzi i wyjaśni okoliczności związane ze sprawą, ale mogą to być okoliczności zupełnie fałszywe, ba może okazać się, że zbadane zostało niewłaściwe urządzenie. Nie ma to jednak żadnych konsekwencji prawnych: luźne rozmowy z biegłym nie są przecież zeznaniami złożonymi w sądzie, nie ma więc mowy o jakiejkolwiek karze za poświadczenie nieprawdy.
Na treść tychże rozmów trudno zresztą powołać się i w opinii, bo wywiady swobodne ze świadkami nie są ani metodą badawczą informatyki, ani dowodami w sprawie - no i oczywiście przede wszystkim, żadna szanująca się firma nie wpuści biegłego na swój teren, a tym bardziej nie dopuści do systemu informatycznego. Polecenie, które sąd wyda biegłemu nie wiąże w żaden sposób tejże firmy. Jest zresztą i szereg innych kwestii, od ochrony tajemnicy (firmowej, handlowej, osobowej, bankowej itd.) począwszy, na które swobodnie można się powołać, żeby uniemożliwić biegłemu dokonanie oględzin.
Powstaje pytanie: jak zrealizować w postępowaniu procesowym choćby wykonanie kopii bitowej dysków serwera, które może trwać przecież kilkanaście albo i kilkadziesiąt godzin? No cóż - decyzja należy do sądu, który może postanowić o zabezpieczeniu maszyny, o zabezpieczeniu wyłącznie kopii bezpieczeństwa, o przekazaniu sprawy ponownie do prokuratury czy wreszcie zdecydować się na koczowanie wraz z biegłym (jak również oskarżonym, jego obrońcą, prokuratorem, oskarżycielami posiłkowymi, ich pełnomocnikami protokolantem etc.) przy serwerze. Nie jest to zachęcająca perspektywa, niemniej opinia wykonana na podstawie oględzin na skróty może zostać bardzo łatwo podważona, a przede wszystkim nie ma w ogóle oparcia w prawie procesowym: oględzin rzeczy zawsze dokonuje sąd (w szczególnym przypadku sędzia wyznaczony albo sąd wezwany), w razie konieczności z udziałem biegłego, nigdy zaś sam biegły.
Na sali sądowej
Zagadnienie zachowania się biegłego na sali sądowej wydaje się kwestią nie wartą poruszenia. Oczywiste jest przecież, że biegły powinien być punktualny, prezentować się estetycznie, wysławiać się czytelnie i na temat, traktować strony procesu w sposób powściągliwy i panować nad emocjami. Niestety wielokrotnie rzeczywistość odbiega od tych oczekiwań.
...
G12ANDRZEJ