E-discovery

E-discovery jest zbiorem procedur i produktów związanych z informatyką śledczą masowej skali i choć nie obejmuje etapu odzyskiwanie danych warto poświecić jej nieco miejsca. Z dziedziną tą związane są wszelkie zaawansowane procesy poszukiwania, analizy i zabezpieczania informacji występujące w kontekście badań dowodów elektronicznych. Jej działania koncentrują się na analizie dokumentów prowadzonych przez zespoły specjalistów oraz sporządzaniu raportów na potrzeby fachowców spoza branży informatycznej korzystających z nich np. w procesach dochodzeniowych (śledczy) czy sądowych (prawnicy).

Procesy e-discovery szczególne zastosowanie znajdują w krajach anglosaskich, których przepisy prawne pozwalają na żądanie przedłożenia w toku prowadzonej sprawy jakichkolwiek dokumentów (nie tylko konkretnych, mających wiadome znaczenie dla sprawy), mogących mieć nawet jedynie potencjalny związek z prowadzonym postępowaniem. Istnieje zwykle ogromna liczba tego typu plików (korespondencja elektroniczna, dokumenty handlowe, dane gromadzone na serwerach) i aby dokonać ich właściwej analizy z pomocą przychodzą właśnie procedury i narzędzia e-discovery. Rozwiązanie e-discovery znajduje także zastosowania w innych systemach prawnych w kwestiach np. wewnętrznych audytów, postępowań w przypadku malwersacji czy innych przestępstw gospodarczych prowadzonych w toku wewnętrznych postępowań podmiotów gospodarczych. Procesy e-discovery pozwalają na szybkie odnalezienie konkretnych plików potwierdzających dane podejrzenie z baz danych gromadzących olbrzymie ilości dokumentów. Narzędzia e-discovery gwarantują ponadto zdobytym informacjom wartość dowodową – dają pewność, że pochodzą z przeszukiwanych zasobów, że nie zostały podłożone ani zamienione.

Jednym z modeli procesów e-discovery, który przybliża specyfikę zagadnienia jest EDRM – Electronic Discovery Reference Model. Model składa się z kilku faz działania, które omówione zostaną poniżej.

1. Zarządzanie informacją (Information Governance)

Do czynności związanych pośrednio z e-discovery należy wcześniejsze przygotowanie odpowiednich procedur organizujących objęte ewentualnymi działaniami dane. Jest to konieczne ze względu na ogromne liczby plików zgromadzonych przez lata w bazach danych podmiotów: dawnych backupów, dokumentów w komputerach pracowników, plików archiwizowanych w pamięciach zewnętrznych urządzeń przenośnych, w chmurach. Aby procesy e-discovery przebiegały sprawnie podmioty gospodarcze po prostu powinny wiedzieć gdzie znajdują się dane. Do tego typu działań należą:

  • podjęcie decyzji co do długości czasu przechowywania danych i ścisłe przestrzeganie skutecznego ich niszczenia po upłynięciu przewidzianego stosownymi zarządzeniami okresu.
  • wprowadzenie odpowiedniego systemu organizacji korespondencji firmowej, będącej zarchiwizowaną i dostępną dla ewentualnej analizy nawet w przypadku jej wykasowania przez pracowników.
  • systematyczna segregacja danych na serwerach porządkująca pliki pod kątem przynależności do odpowiednich działów.
  • odpowiednia konserwacja kopii zapasowych.
  • stworzenie tzw. mapy danych opisującej źródła dokumentów – niezwykle pomocnej przy ewentualnych działaniach e-discovery.

2. Identyfikacja (Identification)

Identyfikacja źródeł dowodowych jest pierwszym etapem właściwego postępowania e-discovery. Podstawową czynnością jest tu utworzenie, jeśli już istnieje – wykorzystanie, mapy danych zawierającej wszystkie źródła dowodowe. Mapa danych konsultowana jest zawsze z osobami prowadzącymi proces dochodzeniowy – to one określają potrzeby i na podstawie ich wytycznych mapa taka powstaje. Na podstawie tych zaleceń identyfikuje się konkretne źródła: komputery, telefony, smartfony, tablety, serwery, skrzynki pocztowe itp.

Zabezpieczenie zebranych informacji (Preservation, Collection)

Etap ten obejmuje dwie formy zabezpieczenia danych:

  • zabezpieczenie i pozostawienie w miejscach, w których dane się znajdują (preservation).
  • zebranie dowodów i zabezpieczenie w innych miejscach (collection) – forma ta przypomina sposób zabezpieczania dowodów przez organy ścigania.

Zabezpieczanie typu „preservation” jest wczesnym typem zabezpieczania danych. Odbywa się na wczesnych etapach procesu, gdy jeszcze nie jest jasne jakie informacje będą niezbędne w prowadzonym procesie – należy więc zabezpieczyć jak najwięcej i jak najszybciej. Niekiedy etap ten prowadzony jest równolegle z etapem identyfikacji. Do metod tego typu działań należą m.in.: wstrzymanie procedur zezwalających na niszczenie danych, wykonanie backupów, modyfikacja istniejących procedur w celu uniemożliwienia nadpisania starszych kopii zapasowych czy uruchomienie funkcji Litigation Hold (Microsoft Exchange) chroniącej przed usunięciem korespondencję znajdującą się w skrzynkach mailowych. Wszystkie ta działania maja na celu uniemożliwienie wszelkich manipulacji materiałem dowodowym.

Zbieranie dowodów obejmuje proces kopiowania danych z nośników i serwerów w celu ich zabezpieczenia do późniejszej analizy. Zebranie dowodów następuje zgodnie z procedurami właściwymi dla informatyki śledczej.

Przetwarzanie, przeglądanie i analiza danych (Processing, Review, Analysis)

Przetwarzanie (Processing) danych odbywa się w celu nadania im odpowiedniej formy – stworzenie katalogu jednostek zawartych na analizowanych nośnikach w formie bazy danych albo indeksu. Czynności odbywają się z wykorzystaniem dedykowanego oprogramowania (np. Law Prediscovery), za pomocą którego następuje wypakowanie plików z archiwów wraz z detekcją odpowiednich tekstów oraz metadanych.

Przeglądanie (Review) polega na przesłaniu sporządzonego katalogu na specjalną platformę umożliwiająca wgląd osobom prowadzącym działalność dochodzeniową. Specjaliści prowadzący omawiane procesy za jej pośrednictwem mogą dokumentom nadawać odpowiednie tagi (np. „kluczowy” lub „brak związku”) a także je kodować.

Analiza (Analysis) polega na interpretacji wyników związanych ze sprawą i podjęciu decyzji co do dalszych działań.

Produkcja (Production)

Etap ten obejmuje przekazanie zebranego materiału i analiz podmiotom (instytucje państwowe, organy ścigania), które w zależności od charakteru postępowania są odpowiedzialne za ewentualne dalsze poczynione kroki. Jeśli nie istnieje taka konieczność etap ten może zostać pominięty.

Prezentacja (Presentation)

To etap, na którym dokonane zostaje przedstawienie wniosków z przeprowadzonego całego procesu e-discovery. Odbywa się on przed właściwą całemu postępowaniu instytucją: sądem, kierownictwem przedsiębiorstwa, zarządem itp.

Pavel Kroupka

Galeria