Wbrew obiegowej opinii, informatyka śledcza nie skupia się jedynie na odzyskiwaniu danych. Kiedy do rąk informatyka trafia uszkodzony nośnik to według procedur powinien on przekazać do specjalisty, który dane odzyska.
Nośniki cyfrowe zawierają dowody – dane cyfrowe. Nośniki analizowane przez specjalistę to:
- dyski twarde komputerów,
- dyskietki,
- płyty CD,
- nośniki pamięci przenośnej,
- telefony komórkowe
- serwery
- serwisy społecznościowe
- dane z chmury
- informacje z wyszukiwarek internetowych
W Polsce informatyka śledcza najczęściej jest stosowana w sprawach dotyczących kradzieży danych, przestępstw popełnianych przez zwalnianych lub nielojalnych pracowników a także w sprawach o usuwanie lub kradzież danych firmowych. W sferze prywatnej informatyka cyfrowa jest niezbędna przy akcjach odnajdywania zbiegłych nieletnich, zaginionych osób, ustalanie motywów niewyjaśnionych zgonów.
Etapy
Informatyka śledcza składa się z następujących faz
- Zabezpieczenie danych np. poprzez kopiowanie nośników z zapisanymi danymi,
- Przetworzenie danych do analizy. Specjalista dokonuje także przefiltrowania danych, rozpoznania. Do analizy posłużyły jedynie wartościowe materiały.
- Przegląd danych cyfrowych
- Przeanalizowanie danych
- Zwieńczeniem procesu jest raport, odnoszący się do dowodów, tez i postępowania, wyłonionego w czasie analizy.
Postępowania wykonywane w ramach informatyki śledczej mają charakter statyczny. Oczywiście może ona posłużyć jako element formalnego postępowania w sądzie.
