Rola biegłego informatyka śledczego w postępowaniu karnym
Gdzie kończy się policjant, a zaczyna biegły
Biegły z zakresu informatyki śledczej w postępowaniu karnym pojawia się zwykle wtedy, gdy zwykłe czynności dochodzeniowe przestają wystarczać. Policjant może zabezpieczyć komputer, telefon, serwer czy konto w chmurze, ale nie ma obowiązku (ani często kompetencji), by prowadzić zaawansowaną analizę danych, odzyskiwać skasowane pliki lub łamać zabezpieczenia kryptograficzne. W tym momencie do gry wchodzi biegły.
Status procesowy biegłego jest jasno określony w kodeksie postępowania karnego. Powołuje go organ prowadzący postępowanie – najczęściej prokurator lub sąd – w formie postanowienia. Bez formalnego postanowienia, biegły jest co najwyżej konsultantem technicznym, a nie źródłem dowodu w rozumieniu procesowym. To postanowienie definiuje zakres zadań i granice odpowiedzialności biegłego. Z punktu widzenia jakości postępowania to pierwszy punkt kontrolny: treść postanowienia przesądza, czy praca eksperta będzie użyteczna czy iluzoryczna.
Zakres zadań biegłego informatyka śledczego rozciąga się od krótkiej konsultacji przy przeszukaniu (jak zabezpieczyć serwer, czy wyłączać komputer, co z szyfrującymi telefonami), przez przygotowanie kopii binarnych i wstępną analizę, po rozbudowaną opinię końcową wraz z uzupełnieniami i ustnymi wyjaśnieniami na rozprawie. Im wcześniej biegły jest włączony w postępowanie, tym większa szansa, że nie dojdzie do nieodwracalnego zniszczenia materiału dowodowego przez nieprzemyślane ruchy na miejscu przeszukania.
Kluczowa granica ról: biegły nie ma szukać „jakiegokolwiek” przestępstwa. Jego zadaniem jest odpowiedź na konkretne pytania organu procesowego, w ramach zdefiniowanego przedmiotu dowodu. Biegły bada, czy da się z danych wyczytać określone fakty, jak do nich doszedł i jakie są techniczne ograniczenia tych ustaleń. Jeśli biegły zaczyna samodzielnie formułować tezy, typować sprawców albo interpretować przepisy – wychodzi poza swój mandat.
Biegły sądowy a biegły prywatny – konflikt ról
W praktyce postępowań karnych występują dwa podstawowe typy ekspertów: biegły powołany przez organ (sądowy, prokuratorski) oraz ekspert prywatny, wynajęty przez stronę (np. obronę). Formalnie tylko ten pierwszy ma status biegłego w rozumieniu przepisów o opinii biegłego, jednak opinia prywatna często jest impulsem do powołania kolejnego biegłego przez sąd, bądź do podważenia wcześniejszej opinii.
Łączenie ról jest jednym z częstszych sygnałów ostrzegawczych. Jeśli ten sam ekspert jest wpisany na listę biegłych sądowych i jednocześnie przyjmuje zlecenia prywatne w tej samej sprawie lub w sprawach ściśle powiązanych, rodzi to pytania o bezstronność. Szczególnie problematyczne są sytuacje, gdy najpierw sporządza ekspertyzę prywatną dla podejrzanego, a potem zostaje formalnie powołany przez sąd w tej samej sprawie. Z perspektywy jakości dowodu cyfrowego jest to minimum, by sprawdzić, czy biegły nie występuje w roli „doradcy jednej ze stron”.
Biegły prywatny może za to dostarczyć organowi narzędziowych pytań. Jeśli obrona zleca prywatną analizę, a ekspert wskazuje istotne braki w sposobie zabezpieczenia danych, brak kopii binarnych, niepełny łańcuch dowodowy czy pominięte nośniki, sąd lub prokurator ma podstawę do przeprowadzenia uzupełniających czynności. W takim układzie biegły prywatny pełni rolę audytora technicznej jakości postępowania.
Punkt kontrolny: treść postanowienia o powołaniu biegłego
Postanowienie o powołaniu biegłego informatyka śledczego to dokument, który powinien przejść krytyczny audyt, zanim trafi do wykonania. Minimum, które musi się w nim znaleźć, aby praca biegłego miała sens i wartość procesową, to:
precyzyjne wskazanie nośników i systemów do analizy (np. konkretny dysk, telefon, serwer, konto w chmurze);
określenie przedmiotu badania (np. odzyskanie skasowanych plików z określonego okresu, analiza komunikatorów, weryfikacja użycia szyfrowania);
konkretne pytania, które mają znaczenie dla tezy oskarżenia lub obrony (np. „czy możliwe jest ustalenie, kto korzystał z konta w dniu X?”);
informacja o materiałach porównawczych (np. logi serwerowe, dane od operatora, dokumenty papierowe);
wskazanie, czy biegły ma samodzielnie odzyskiwać dane, czy też ma korzystać wyłącznie z już wykonanych kopii.
Jeśli pytania są nieprecyzyjne („czy na dysku są dowody popełnienia przestępstwa?”) lub sugerujące tezę („proszę potwierdzić, że oskarżony wysłał wiadomości zawierające groźby”), biegły w praktyce zostaje zepchnięty w rolę wspólnika jednej ze stron. Jeśli natomiast pytania odnoszą się do konkretnych czynności i technicznych możliwości (np. „czy z nośnika X można odzyskać historię przeglądarki z okresu Y?”), rośnie szansa na wiarygodny i przydatny dowód.
Jeśli postanowienie jest szczegółowe i neutralne, biegły ma solidną podstawę do pracy i łatwiej mu bronić opinii przed sądem. Jeśli dokument jest ogólnikowy lub obciążony tezą, z góry rośnie ryzyko zarzutu stronniczości albo przekroczenia kompetencji.
Źródło: Pexels | Autor: Vincent Olman
Podstawy techniczne – jak dane „żyją” na nośniku
Skasowane nie znaczy zniszczone
Logiczne usunięcie pliku w systemie operacyjnym to nie to samo, co fizyczne zniszczenie danych. Przy zwykłym kasowaniu system najczęściej usuwa jedynie wpis w strukturze systemu plików (np. MFT w NTFS, inod w ext4) i oznacza zajmowane wcześniej sektory jako dostępne do ponownego użycia. Treść pliku pozostaje na nośniku do momentu nadpisania. Biegły informatyk śledczy wykorzystuje ten „okres przejściowy”, aby odzyskiwać informacje, które użytkownik uznawał za usunięte.
W praktyce oznacza to, że nawet po „opróżnieniu kosza” lub skasowaniu katalogu, dane nadal mogą być możliwe do odzyskania, o ile nie doszło do intensywnego zapisu nowych informacji. Narzędzia informatyki śledczej czytają zawartość nośnika w trybie surowym, omijając struktury systemu plików – biegły widzi to, czego standardowy użytkownik już nie zobaczy. To dotyczy zarówno klasycznych dysków HDD, jak i wielu nośników flash w określonych warunkach.
Fizyczne bezpowrotne zniszczenie danych następuje dopiero po ich nadpisaniu (czasem wielokrotnym, w zależności od przyjętych standardów), uszkodzeniu nośnika lub zastosowaniu silnego szyfrowania, którego kluczy nie da się odtworzyć. Dlatego z punktu widzenia postępowania karnego każda czynność prowadząca do zapisywania nowych danych na skonfiskowanym sprzęcie jest sygnałem ostrzegawczym.
HDD, SSD, telefony – różne mechanizmy kasowania
Klasyczne dyski talerzowe (HDD) przechowują dane w sposób stosunkowo przewidywalny. Dane po skasowaniu pozostają w postaci sektorów magnetycznych, dopóki nie zostaną nadpisane. Biegły może odczytywać sektory po sektorze i szukać fragmentów struktur plików, nagłówków znanych formatów (np. JPEG, DOCX) oraz innych sygnałów, które pozwalają zrekonstruować zawartość. W prostych przypadkach wystarczy analiza programu typu „file carver”; w trudniejszych – ręczna analiza heksadecymalna.
Dyski SSD i inne nośniki flash (pendrive’y, karty pamięci, pamięć telefonów) działają inaczej, głównie ze względu na mechanizmy wear leveling oraz komendę TRIM. Kontroler dysku równomiernie rozkłada zapis po całej przestrzeni, aby wydłużyć żywotność komórek pamięci, a system operacyjny informuje nośnik, które bloki są „wolne”. W efekcie dane mogą być fizycznie kasowane w tle, niezależnie od działań użytkownika. Dla biegłego oznacza to większą niepewność – niektóre fragmenty da się odzyskać, ale inne znikają szybko i bez śladu.
Telefony i tablety dokładają do tego warstwę systemów mobilnych (Android, iOS) i szyfrowania pełnodyskowego. W wielu nowszych urządzeniach dane są szyfrowane sprzętowo od pierwszego uruchomienia. Skasowany plik to często po prostu odcięcie odniesienia do porcji zaszyfrowanych bloków. Bez kluczy szyfrujących nawet fizycznie obecna zawartość nie ma wartości dowodowej. Rolą biegłego jest wtedy nie tyle „odzyskanie pliku”, ile odzyskanie lub obejście kluczy (np. poprzez atak na ekran blokady, podatności systemowe, kopie zapasowe).
TRIM, snapshoty i „ukryte” źródła danych
Komenda TRIM w systemach Windows, Linux czy macOS informuje dysk SSD, które bloki danych nie są już używane. Nośnik może wówczas fizycznie je wyczyścić w czasie bezczynności. W praktyce skraca to okno czasowe, w którym biegły może odzyskać skasowane pliki z SSD. Jednocześnie w wielu środowiskach serwerowych istnieją mechanizmy, które nieoczekiwanie pomagają – snapshoty, cienie wolumenów, automatyczne kopie w tle. Serwer plików może przechowywać wiele „migawek” systemu z poprzednich dni lub tygodni, co dla informatyki śledczej jest źródłem dodatkowych wersji dokumentów i konfiguracji.
Poza samym nośnikiem danych istnieje szereg miejsc, gdzie ślady pozostają nawet po starannym czyszczeniu sprzętu przez sprawcę. Przykłady:
dane w pamięci RAM i pliki zrzutu pamięci (np. po awarii systemu);
pliki wymiany/pagingu (pagefile, swap), gdzie lądują fragmenty otwartych dokumentów i sesji przeglądarki;
pliki tymczasowe aplikacji, cache przeglądarek, bazy komunikatorów;
logi systemowe i aplikacyjne (np. logi serwera pocztowego, routera, systemu SIEM).
Doświadczenie biegłego polega między innymi na tym, by wiedzieć, gdzie takie „resztki danych” mogą się znajdować w zależności od rodzaju systemu. Jeśli organ ścigania zakłada, że usunięcie folderu z dokumentami zamyka sprawę, ignoruje całe bogactwo śladów pośrednich, często bardziej wiarygodnych niż sam plik wynikowy.
Minimum techniczne dla prawnika
Prawnik prowadzący sprawę nie musi znać szczegółów działania kontrolera SSD, ale powinien rozumieć kilka podstawowych pojęć, żeby właściwie rozmawiać z biegłym i stawiać sensowne pytania:
różnica między usunięciem pliku a nadpisaniem danych;
znaczenie kopii binarnej (image) a zwykłego kopiowania plików;
rola funkcji hash w potwierdzaniu integralności danych;
specyfika szyfrowania pełnodyskowego i szyfrowania komunikacji;
łańcuch dowodowy (chain of custody) i jego wpływ na wartość dowodu.
Jeżeli organ postępowania rozumie różnicę między logicznym a fizycznym usunięciem danych, potrafi lepiej zaplanować sposób zabezpieczenia nośników i formułować realistyczne oczekiwania wobec biegłego. Jeśli natomiast operuje na uproszczeniu „skasowane = utracone”, łatwo przeoczyć potencjalnie kluczowy materiał dowodowy albo przeciwnie – oczekiwać cudów tam, gdzie nośnik został już bezpowrotnie wyczyszczony.
Jeśli minimalna świadomość techniczna jest po stronie prokuratora i sądu, komunikacja z biegłym staje się partnerska i merytoryczna. Jeśli jej brakuje, opinia eksperta bywa traktowana jak „magiczna czarna skrzynka”, co sprzyja zarówno nadużyciom, jak i niezrozumieniu ograniczeń.
Źródło: Pexels | Autor: cottonbro studio
Zabezpieczenie sprzętu i danych – co decyduje o możliwości odzysku
Pierwsze minuty na miejscu przeszukania
O tym, czy biegły będzie w stanie odzyskać skasowane dane i zmierzyć się z szyfrowaniem, bardzo często przesądzają pierwsze minuty na miejscu przeszukania. Sposób, w jaki policja lub inny organ zabezpieczy sprzęt, może albo zachować istniejące ślady, albo je nieodwracalnie zniszczyć. To etap, na którym powinien działać jasno określony protokół postępowania, a nie improwizacja.
Kluczowe decyzje na tym etapie to m.in.:
czy wyłączać włączony komputer, czy go „zamrozić” w aktualnym stanie (np. odłączając od sieci, ale nie od prądu);
jak potraktować telefony – czy blokować ekran, czy zabierać w stanie włączonym;
jak zabezpieczyć dostęp do kont w chmurze (otwarte sesje, zalogowane przeglądarki, zapisane hasła);
czy sięgać po blokery sygnału GSM/Wi‑Fi, aby uniemożliwić zdalne czyszczenie danych.
Sygnał ostrzegawczy: funkcjonariusz, który zaraz po wejściu do lokalu zaczyna „klikać” po pulpicie, otwierać foldery, zamykać aplikacje, instalować oprogramowanie z pendrive’a lub przeglądać pocztę podejrzanego bez wcześniejszego udokumentowania stanu ekranu. Każda taka czynność generuje nowe wpisy w logach, modyfikuje metadane plików i zmienia strukturę systemu plików. Dla biegłego to nie tylko utrudnienie – to także potencjalny argument obrony, że dowody zostały zmanipulowane.
Telefony, tryb samolotowy i blokery sygnału
Decyzja: wyłączać telefon czy zostawić włączony
Przy telefonach kluczowe jest szybkie rozstrzygnięcie, czy urządzenie ma pozostać włączone, czy należy je natychmiast wyłączyć. Jedno i drugie niesie ryzyko. Wyłączenie smartfona powoduje utratę danych z pamięci operacyjnej (m.in. kluczy szyfrujących przechowywanych tymczasowo), natomiast pozostawienie włączonego – ryzyko zdalnego wymazania, nadpisania lub zaszyfrowania danych przez sprawcę albo współsprawców.
Punktem kontrolnym jest ocena, czy:
ekran jest odblokowany i telefon jest w trybie normalnej pracy;
na ekranie widoczne są aktywne aplikacje komunikatorów, poczta, chmura;
domyślnie włączone jest szyfrowanie pełnodyskowe (praktycznie standard w nowszych Androidach i iOS);
istnieje realna obawa, że ktoś zdalnie przejmie kontrolę nad urządzeniem.
Jeżeli ekran jest odblokowany, a urządzenie już odsłania treści (np. otwarta aplikacja komunikatora), zwykle korzystniejsze jest przełączenie telefonu w tryb samolotowy, wyłączenie Wi‑Fi i Bluetooth oraz szybkie, fotograficzne udokumentowanie stanu ekranu. Wyłączenie w takim momencie może uniemożliwić późniejsze odszyfrowanie danych, jeśli po ponownym uruchomieniu zażąda ono kodu PIN, którego organ nie zna. Z kolei gdy telefon jest zablokowany i istnieje podejrzenie aktywnej funkcji „zdalnego wymazania”, pierwszym krokiem staje się odcięcie go od sieci – czy to przez tryb samolotowy (jeżeli to możliwe bez odblokowania), czy przez fizyczne blokery sygnału.
Jeżeli funkcjonariusz potrafi zidentyfikować moment, w którym utrata zasilania zniszczy ważne klucze w pamięci RAM, nie będzie naciskał „power” z przyzwyczajenia. Jeżeli tego nie widzi, może nieświadomie zamknąć biegłemu drogę do odszyfrowania całego telefonu.
Tryb samolotowy, karty SIM i blokery sygnału
Odcięcie urządzenia mobilnego od sieci to priorytet, jeśli istnieje choć cień ryzyka, że ktoś zdalnie zareaguje na przeszukanie. Tryb samolotowy jest najprostszym narzędziem, ale jego włączenie wymaga interakcji z ekranem i bywa zabezpieczone blokadą. Blokery sygnału (jammer) działają szerzej, ale ingerują też w otoczenie radiowe, co niesie konsekwencje prawne i organizacyjne.
Praktyczny schemat oceny jest następujący:
jeśli ekran jest odblokowany – w pierwszej kolejności tryb samolotowy, wyłączenie Wi‑Fi, Bluetooth i NFC, dopiero potem dalsze czynności;
jeżeli ekran jest zablokowany, ale telefon aktywnie komunikuje się z siecią (powiadomienia, synchronizacja) – w miarę możliwości zastosowanie lokalnego blokera sygnału lub ekranizującej torebki (tzw. klatka Faradaya w wersji przenośnej);
w ostateczności, gdy brak innych narzędzi, a ryzyko zdalnego wymazania jest wysokie – rozważenie wyjęcia karty SIM po uprzednim udokumentowaniu stanu urządzenia.
Sygnał ostrzegawczy: funkcjonariusz, który zaczyna przeglądać wiadomości w komunikatorze przy aktywnym LTE i Wi‑Fi, licząc, że „zdąży przeczytać”, zanim coś się stanie. Każda sekunda z połączeniem z siecią to szansa na zdalne wylogowanie, zmianę hasła lub komendę wymazania. Jeżeli konsekwentnie odcina się urządzenia od sieci zanim zacznie się ich oględziny, minimalizuje się wpływ działań zewnętrznych i ułatwia późniejsze wykazanie, że integralność danych nie została naruszona.
Zamrożenie stanu urządzenia i dokumentacja „na gorąco”
Przy sprzęcie włączonym – zarówno komputerach, jak i telefonach – kluczowe jest „zamrożenie” stanu pracy w sposób, który pozwala na późniejsze odtworzenie kontekstu. Nie chodzi tylko o zdjęcie ekranu, ale o cały pakiet działań dokumentacyjnych wykonywanych przed jakąkolwiek ingerencją techniczną.
Praktyczny zestaw minimum obejmuje:
serię zdjęć lub nagranie wideo pokazujące kolejno: ekran logowania lub pulpit, uruchomione aplikacje, widoczne dokumenty, listy otwartych kart w przeglądarce;
spis podłączonych nośników zewnętrznych (pendrive’y, dyski USB, karty pamięci), widocznych na pasku zadań lub w powiadomieniach;
zabezpieczenie wszelkich haseł zapisanych w widocznej formie (karteczki przy monitorze, notatniki otwarte na biurku).
Jeżeli uda się w tym wczesnym momencie przechwycić zrzut pamięci RAM z komputera (np. narzędziem biegłego uruchomionym z przygotowanego nośnika, po konsultacji z organem), można później odzyskać z niego m.in. klucze szyfrowania pełnodyskowego czy sesje komunikatorów. Zaniechanie tego kroku przy urządzeniu, które oczywiście korzysta z szyfrowania dysku, jest realną utratą szansy na dostęp do treści.
Jeżeli pierwsze czynności koncentrują się na dokumentowaniu stanu i „zamrożeniu” urządzenia, biegły zyskuje pełniejszy kontekst i często dodatkowe ścieżki odzysku danych. Jeżeli zamiast tego zaczyna się od „klikania” i instalowania programów, znika część śladów, których już nie da się odtworzyć.
Transport i magazynowanie nośników
Po przejęciu sprzętu punkt ciężkości przesuwa się na bezpieczny transport i przechowywanie. Tu błędy nie niszczą zazwyczaj danych od razu, ale otwierają drogę do zarzutów o naruszenie łańcucha dowodowego. W sprawach z udziałem biegłego informatyka śledczego każdy brak w ewidencji przepływu sprzętu może zostać odczytany jako ryzyko manipulacji.
Krytyczne elementy to m.in.:
jednoznaczne oznaczenie każdego nośnika (etykieta, numer sprawy, numer pozycji w protokole), najlepiej jeszcze na miejscu przeszukania;
rejestr przekazań – kto, kiedy i komu wydał dany nośnik, z podpisem odbioru;
odpowiednie warunki przechowywania (ochrona przed wilgocią, skrajną temperaturą, polami elektromagnetycznymi).
Sygnał ostrzegawczy: pendrive leżący „luzem” w teczce akt, bez opisu, przekazywany z rąk do rąk bez protokołu. W postępowaniach karnych zaburza to wiarygodność dowodu, nawet jeśli dane na nośniku nigdy nie zostały zmienione. Jeżeli ścieżka od miejsca przeszukania do laboratorium biegłego jest spójna, opisana i kontrolowalna, obrona ma znacznie mniejsze pole do kwestionowania autentyczności materiału cyfrowego.
Włączanie biegłego na etapie zabezpieczenia
Największy zysk dla sprawy uzyskuje się wtedy, gdy biegły jest zaangażowany już na etapie przeszukania, a nie dopiero przy analizie. To nie musi oznaczać fizycznej obecności na miejscu – często wystarczy szybka konsultacja telefoniczna lub procedura wypracowana wspólnie wcześniej.
W praktyce sprawdza się kilka prostych rozwiązań:
standardowe arkusze kontrolne dla funkcjonariuszy (check‑listy), które prowadzą ich przez podstawowe decyzje: wyłączamy / zostawiamy włączone, dokumentujemy ekran, zabezpieczamy sieć itd.;
jasne kryteria, kiedy nie wolno podejmować samodzielnych działań na urządzeniu (np. widoczna informacja o szyfrowaniu dysku, zaawansowane systemy serwerowe, krytyczne systemy OT);
mechanizm szybkiej konsultacji z biegłym dyżurnym – choćby po to, aby potwierdzić, że decyzja o wyłączeniu urządzenia jest w danej sytuacji rozsądna.
Jeżeli biegły ma wpływ na sposób zabezpieczenia danych, jego późniejsza opinia jest spójna z podjętymi działaniami i łatwiej obronić ją przed sądem. Jeżeli zostaje włączony dopiero, gdy sprzęt od tygodni leży w magazynie, często może jedynie opisać skutki decyzji podjętych bez żadnej konsultacji.
Źródło: Pexels | Autor: cottonbro studio
Kopie binarne, hash i łańcuch dowodowy – fundament wiarygodności
Kopia binarna kontra „zwykłe kopiowanie”
Kopia binarna (image) to wierne odwzorowanie całego nośnika – sektor po sektorze – łącznie z obszarami oznaczonymi jako „puste” lub „niewykorzystane”. Z perspektywy informatyki śledczej to standard minimalny. Proste skopiowanie „widocznych” plików pomija przestrzeń, w której można znaleźć dane skasowane, ukryte lub fragmenty struktury systemu plików istotne dla rekonstrukcji zdarzeń.
Różnice są fundamentalne:
przy kopiowaniu plików narusza się daty dostępu, generuje nowe wpisy w logach i zmienia strukturę katalogów; przy obrazie – odczytuje się nośnik w trybie możliwie bezinwazyjnym;
kopia plików nie pozwala odtworzyć danych usuniętych z kosza ani niezarejestrowanych fragmentów plików; obraz – owszem;
image może być wielokrotnie analizowany bez dotykania oryginału; przy braku obrazu każda nowa analiza ingeruje w dowód pierwotny.
Punktem kontrolnym dla organu jest pytanie: czy z danego nośnika została sporządzona kompletna kopia binarna, zanim przystąpiono do jakiejkolwiek analizy treści? Jeżeli nie, trzeba liczyć się z ograniczeniami w odzyskiwaniu danych i potencjalnymi zarzutami o zmianę materiału dowodowego.
Sprzętowe blokery zapisu i procedura obrazowania
Tworzenie kopii binarnej wiąże się z ryzykiem przypadkowego zapisu na badany nośnik. Dlatego standardem jest stosowanie sprzętowych blokad zapisu (write‑blockerów), które fizycznie uniemożliwiają jakąkolwiek modyfikację oryginału. Biegły podłącza zabezpieczony dysk przez taki moduł do swojego stanowiska i dopiero wtedy uruchamia narzędzia obrazujące.
Poprawna procedura obejmuje zazwyczaj:
weryfikację, że nośnik jest sprawny na poziomie fizycznym (SMART, logi kontrolera);
podłączenie przez certyfikowany write‑blocker, udokumentowanie modelu i numeru seryjnego urządzenia;
wybór narzędzia do obrazowania (np. dd, FTK Imager, EnCase Imager) oraz zapis parametrów procesu (komenda, logi);
tworzenie co najmniej dwóch kopii: roboczej (do analizy) i referencyjnej (archiwalnej), na osobnych nośnikach;
obliczenie sum kontrolnych hash (co najmniej MD5 i SHA‑1/SHA‑256) dla oryginału i każdej z kopii.
Sygnał ostrzegawczy: biegły, który tworzy obraz na tym samym nośniku, który bada, lub nie stosuje żadnego mechanizmu blokady zapisu. W razie sporu bardzo trudno wykazać, że w czasie kopiowania nie doszło do modyfikacji danych. Jeżeli proces obrazowania jest powtarzalny, udokumentowany i możliwy do odtworzenia, wzrasta zaufanie do całej opinii.
Funkcje hash jako „odcisk palca” danych
Funkcje skrótu (hash) – MD5, SHA‑1, SHA‑256 i inne – pełnią w informatyce śledczej rolę unikalnego „odcisku palca” danych. Dla całego nośnika, obrazu lub pojedynczego pliku biegły oblicza wartość hash i zapisuje ją w protokole. Każda, choćby minimalna, zmiana danych powoduje zmianę skrótu, więc porównanie wartości hash w różnych momentach pozwala ocenić, czy integralność została zachowana.
W praktyce wykorzystuje się je na kilku poziomach:
do weryfikacji, że kopia binarna jest wiernym odwzorowaniem oryginału (hash oryginału = hash obrazu);
do późniejszego sprawdzania, czy obraz roboczy nie został podmieniony w trakcie analizy (porównanie z wartościami z protokołu);
w bazach referencyjnych (np. znane pliki systemowe, oprogramowanie) – aby szybko odfiltrować nieistotne pliki lub zidentyfikować określone typy materiałów (np. zakazane treści).
Punktem kontrolnym dla prawnika jest obecność jawnie opisanych wartości hash w dokumentacji. Brak lub niekompletne dane w tym zakresie utrudniają niezależną weryfikację i mogą osłabić moc dowodową opinii. Jeśli wartości hash są spójne od momentu zabezpieczenia do zakończenia analizy, to argument za nienaruszoną integralnością materiału.
Łańcuch dowodowy: kto, kiedy i co zrobił z nośnikiem
Łańcuch dowodowy (chain of custody) to szczegółowa historia życia dowodu – od chwili jego znalezienia aż po rozprawę. W świecie danych cyfrowych przejrzysty łańcuch dowodowy jest tak samo ważny, jak sama zawartość nośnika. Niezależnie od tego, jak skutecznie biegły odzyska pliki i pokona szyfrowanie, brak spójnej dokumentacji przepływu sprzętu może podważyć cały efekt.
Solidny łańcuch dowodowy powinien obejmować co najmniej:
identyfikację dowodu w protokole przeszukania (opis, numer seryjny, warunki znalezienia);
każde wydanie i przyjęcie dowodu – z datą, godziną, imieniem i nazwiskiem osoby odpowiedzialnej oraz podpisem;
opis czynności wykonanych na dowodzie lub jego kopiach (np. „sporządzenie kopii binarnej”, „analiza logiczna systemu plików”) wraz z datą i użytymi narzędziami;
Najczęściej zadawane pytania (FAQ)
Kim jest biegły z zakresu informatyki śledczej w postępowaniu karnym?
Biegły informatyk śledczy to ekspert powoływany przez prokuratora lub sąd, który analizuje dane cyfrowe na potrzeby konkretnej sprawy karnej. Jego status i zadania wynikają z kodeksu postępowania karnego – działa na podstawie formalnego postanowienia, a nie „na telefon” policjanta.
Zakres jego pracy obejmuje m.in. odzyskiwanie skasowanych plików, analizę komunikatorów, weryfikację użycia szyfrowania oraz ocenę poprawności zabezpieczenia nośników. Jeśli ekspert nie został formalnie powołany postanowieniem, jest jedynie konsultantem technicznym i jego opinia nie jest dowodem w ścisłym sensie procesowym. Jeżeli więc celem jest dowód przed sądem, pierwszym punktem kontrolnym jest zawsze sprawdzenie, czy istnieje prawidłowe postanowienie o powołaniu biegłego.
Co dokładnie robi biegły informatyk przy odzyskiwaniu skasowanych danych?
Biegły tworzy kopię binarną (1:1) badanego nośnika i pracuje wyłącznie na tej kopii, aby nie naruszyć oryginału. Następnie przy użyciu specjalistycznego oprogramowania odczytuje dane „poniżej” systemu plików, szukając śladów skasowanych dokumentów, zdjęć czy historii przeglądarki – także wtedy, gdy użytkownik opróżnił kosz lub usunął katalog.
W przypadku klasycznych HDD analizuje sektory talerzowe i struktury systemu plików, w przypadku SSD i pamięci flash musi brać pod uwagę wear leveling i komendę TRIM, które mogą fizycznie usuwać dane w tle. Jeśli od momentu zabezpieczenia sprzętu prowadzono na nim intensywną pracę (instalacje, aktualizacje, kopiowanie plików), jest to poważny sygnał ostrzegawczy: rośnie ryzyko, że część informacji została nieodwracalnie nadpisana.
Czy skasowane pliki z dysku lub telefonu da się zawsze odzyskać?
Nie. Odzyskanie skasowanych danych zależy od typu nośnika, ustawień systemu i intensywności późniejszego zapisu. Na dyskach HDD szansa jest zwykle większa – dopóki sektory nie zostały nadpisane, treść pliku często da się odtworzyć. Na SSD, pendrive’ach i w telefonach szybkie działanie mechanizmów TRIM i wear leveling może sprawić, że kasowanie jest faktycznie zbliżone do fizycznego zniszczenia.
Z punktu widzenia postępowania karnego minimum, które trzeba zweryfikować, to: czy sprzęt po zabezpieczeniu był używany, czy wykonano kopię binarną przed jakimikolwiek próbami „przeglądania” oraz czy biegły dysponuje informacjami o konfiguracji systemu (szyfrowanie, automatyczne czyszczenie). Jeśli sprzęt był „przeglądany” przez kilka dni bez udziału biegłego, a dopiero potem wykonano kopię, to jakość potencjalnego odzysku danych jest od razu obniżona.
Jak biegły radzi sobie z szyfrowaniem dysków i telefonów w sprawie karnej?
Biegły w pierwszej kolejności próbuje wykorzystać moment zabezpieczenia sprzętu: jeśli komputer lub telefon jest włączony i odblokowany, można często wykonać kopię zaszyfrowanego nośnika w stanie „otwartym” albo pozyskać klucze z pamięci operacyjnej. Wyłączenie urządzenia bez analizy bywa krytycznym błędem – po ponownym uruchomieniu dane mogą być nieosiągalne bez hasła.
Gdy szyfrowanie jest silne, a klucze niedostępne, biegły skupia się na danych pobocznych: logach serwerowych, kopiach w chmurze, backupach, metadanych z innych urządzeń. Często to te „środowiskowe” informacje pozwalają odtworzyć istotne fakty, mimo że zawartość zaszyfrowanego dysku pozostaje nieczytelna. Jeżeli więc w sprawie pojawia się sprzęt z pełnym szyfrowaniem, punktem kontrolnym jest sprawdzenie, jak dokładnie policja obchodziła się z urządzeniem w pierwszych godzinach od zabezpieczenia.
Jaka jest różnica między biegłym sądowym a prywatnym informatykiem śledczym?
Biegły sądowy (lub prokuratorski) jest formalnie powołany postanowieniem organu procesowego i jego opinia stanowi dowód w sprawie. Prywatny ekspert działa na zlecenie strony, najczęściej obrony, i jego analiza ma charakter pomocniczy – może wskazywać na błędy w zabezpieczeniu, luki w łańcuchu dowodowym czy niewłaściwie sformułowane pytania do biegłego sądowego.
Łączenie ról to wyraźny sygnał ostrzegawczy. Ten sam specjalista nie powinien być jednocześnie autorem prywatnej opinii na rzecz podejrzanego i biegłym powołanym przez sąd w tej samej lub ściśle powiązanej sprawie. Jeżeli taka sytuacja występuje, minimalnym działaniem jest wniosek o wyjaśnienie konfliktu ról, a często – o powołanie innego biegłego.
Co musi zawierać poprawne postanowienie o powołaniu biegłego informatyka śledczego?
Dobrze przygotowane postanowienie to podstawowy punkt kontrolny jakości całej opinii. Powinno ono precyzyjnie wskazywać:
jakie nośniki, systemy i konta mają być zbadane (konkretne dyski, telefony, serwery, chmura),
jaki jest przedmiot badania (np. odzyskanie skasowanych plików z określonego okresu, analiza konkretnego komunikatora, weryfikacja użycia szyfrowania),
jakie pytania mają znaczenie dla tezy oskarżenia lub obrony (np. „czy da się ustalić użytkownika konta w dniu X?”),
z jakich materiałów porównawczych biegły ma korzystać (logi, dane od operatorów, dokumenty),
czy ma samodzielnie odzyskiwać dane, czy pracuje wyłącznie na już wykonanych kopiach.
Ogólnikowe pytania typu „czy na dysku są dowody przestępstwa?” są z definicji wadliwe – spychają biegłego w rolę poszukiwacza „czegokolwiek” i zwiększają ryzyko zarzutu stronniczości. Jeśli pytania są rzeczowe i technicznie ukierunkowane (np. „czy z nośnika X można odzyskać historię przeglądarki z okresu Y?”), szansa na wiarygodną i obronną opinię rośnie.
Czy biegły informatyk może sam „szukać przestępstwa” na dysku lub w telefonie?
Nie. Biegły nie ma uprawnienia do samodzielnego „łowienia” dowodów na jakiekolwiek przestępstwo. Jego zadaniem jest odpowiedź na konkretne pytania z postanowienia, w ramach ściśle określonego przedmiotu dowodu. Może opisać, jakie informacje udało się odczytać i jakie są ograniczenia techniczne, ale nie powinien sam typować sprawców czy interpretować przepisów.
Kluczowe Wnioski
Biegły informatyk śledczy wchodzi do sprawy tam, gdzie kończą się standardowe czynności policji – jego zadaniem jest techniczna analiza danych (odzysk, szyfrowanie, rekonstrukcja zdarzeń), a nie prowadzenie dochodzenia ani „łapanie sprawcy”. Jeśli biegły zaczyna sam typować winnych lub interpretować przepisy, to jasny sygnał ostrzegawczy przekroczenia mandatu.
Postanowienie o powołaniu biegłego to kluczowy punkt kontrolny: musi precyzyjnie wskazywać nośniki, zakres badania, konkretne pytania oraz materiały porównawcze. Jeśli dokument jest ogólnikowy lub sugeruje z góry tezę, rośnie ryzyko stronniczej opinii i bezużytecznego dowodu cyfrowego.
Im wcześniej biegły zostanie włączony do czynności (np. już na etapie przeszukania), tym mniejsze ryzyko zniszczenia materiału dowodowego przez nieprzemyślane działania, takie jak pochopne wyłączanie serwera czy niepoprawne zabezpieczenie zaszyfrowanego telefonu. Jeśli ekspert pojawia się dopiero „na końcu”, często naprawia błędy, których nie da się już odwrócić.
Rozdzielenie ról między biegłym sądowym a ekspertem prywatnym to minimum, aby zachować wiarygodność dowodu. Łączenie funkcji (np. ten sam specjalista najpierw dla podejrzanego, potem dla sądu w tej samej sprawie) jest poważnym sygnałem ostrzegawczym co do bezstronności i powinno automatycznie uruchamiać pytania o konflikt interesów.
