ικανική Ετοιµότητα Πληροφοριακών & Επικοινωνιακών Συστηµάτων Η ιπλωµατική Εργασία παρουσιάστηκε ενώπιον του ιδακτικού Προσωπικού του Πανεπιστηµίου Αιγαίου Σε Μερική Εκπλήρωση των Απαιτήσεων για το Μεταπτυχιακό ίπλωµα Ειδίκευσης του Μηχανικού Πληροφοριακών και Επικοινωνιακών Συστηµάτων του ΧΡΗΣΤΟΥ ΣΓΑΡΑ ΧΕΙΜΕΡΙΝΟ ΕΞΑΜΗΝΟ 2007
Η ΤΡΙΜΕΛΗΣ ΕΠΙΤΡΟΠΗ Ι ΑΣΚΟΝΤΩΝ ΕΓΚΡΙΝΕΙ ΤΗ ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΤΟΥ ΧΡΗΣΤΟΥ ΣΓΑΡΑ: ΚΩΝ/ΝΟΣ ΛΑΜΠΡΙΝΟΥ ΑΚΗΣ, Επιβλέπων Τµήµα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστηµάτων Ηµεροµηνία ΛΙΛΙΑΝ ΜΗΤΡΟΥ, Μέλος Τµήµα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστηµάτων ΣΤΕΦΑΝΟΣ ΓΚΡΙΤΖΑΛΗΣ, Μέλος Τµήµα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστηµάτων ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ ΧΕΙΜΕΡΙΝΟ ΕΞΑΜΗΝΟ 2007 ii
ΠΕΡΙΛΗΨΗ Παρά την έντονη διείσδυση των τεχνολογιών Πληροφορικής και Επικοινωνιών στην πλειονότητα των επιχειρησιακών διαδικασιών σήµερα, οι περισσότεροι οργανισµοί υποτιµούν τη συχνότητα µε την οποία ενδέχεται να κληθούν να προσκοµίσουν αξιόπιστα στοιχεία των γεγονότων που έχουν λάβει χώρα στα Πληροφοριακά & Επικοινωνιακά Συστήµατά (ΠΕΣ) τους. Επίσης, είτε αγνοούν είτε υποτιµούν τις απαιτήσεις που επιβάλλει το νοµικό σύστηµα σχετικά µε την εξασφάλιση της αποδεικτικής ισχύος και της αξιοπιστίας των ψηφιακών αποδεικτικών στοιχείων. Αµφότερες οι δύο προηγούµενες διαπιστώσεις ελλοχεύουν δυσµενείς επιδράσεις στην ευηµερία ενός οργανισµού σε περίπτωση που δεν αντιµετωπισθούν αποτελεσµατικά. Στην προσπάθεια δικανικής ετοιµότητας των ΠΕΣ τους, οι οργανισµοί πρέπει πρωταρχικά να προσδιορίσουν τους σηµαντικότερους κινδύνους ώστε να εντοπισθούν οι πιθανές πηγές ψηφιακών αποδεικτικών στοιχείων. Στην αξιοπιστία των αποδεικτικών στοιχείων σηµαντικό ρόλο παίζουν η αποδεικτική ισχύς και η βαρύτητα τους. Σε διαδικαστικό επίπεδο, θα πρέπει να τηρείται η συνοχή στη διαδικασία συλλογής και διαχείρισης των στοιχείων. Η τεχνολογία παρέχει ευρείες δυνατότητες συλλογής ψηφιακών αποδεικτικών στοιχείων για ποικίλα τεχνολογικά περιβάλλοντα από υπολογιστές παλάµης έως πολύπλοκα διασυνδεδεµένα υπολογιστικά συστήµατα µεγάλου εύρους. Στις ψηφιακές διερευνήσεις µπορούν να συνδράµουν εξειδικευµένα εργαλεία λογισµικού που παρέχουν εξελιγµένες δυνατότητες συσχετισµού των γεγονότων εντός των ΠΕΣ. Σε κάθε περίπτωση, η αναλυτική τεκµηρίωση των συστηµάτων καθώς και η ύπαρξη σαφώς προκαθορισµένων διαδικασιών για τη συντήρησή τους µπορούν να συµβάλλουν στην αξιοπιστία των στοιχείων. Από την άλλη πλευρά, στις δυνατότητες της τεχνολογίας τίθενται όρια που προέρχονται από το υφιστάµενο νοµοθετικό και κανονιστικό πλαίσιο. Τα σηµαντικότερα νοµικά ζητήµατα που προκύπτουν σχετικά µε τις ψηφιακές διερευνήσεις σε επιχειρηµατικά περιβάλλοντα είναι η αποδεικτική ισχύς των ηλεκτρονικών εγγράφων στην ηλεκτρονική δικαιοπραξία και γενικότερα των ψηφιακών αποδεικτικών στοιχείων στο δικαστήριο, η προστασία των θεµελιωδών δικαιωµάτων του ανθρώπου και η παρακολούθηση στον εργασιακό χώρο. Συµπερασµατικά, οι οργανισµοί ενδέχεται να δεχθούν απώλειες σε νοµικές διαµάχες και ασφαλιστικές αξιώσεις εξαιτίας της αδυναµίας τους να παράσχουν αξιόπιστα ψηφιακά αποδεικτικά στοιχεία από τα ΠΕΣ τους. Η δικανική ετοιµότητα των ΠΕΣ συνδέεται άµεσα µε τη διαφύλαξη της δηµόσιας εικόνας και των συµφερόντων των οργανισµών όταν λαµβάνει χώρα µια κρίση. Για το λόγο αυτό, θα πρέπει να ληφθούν προληπτικές ενέργειες σε οργανωτικό και τεχνικό επίπεδο όπως η δηµιουργία διαδικασιών και η εγκατάσταση τεχνολογικών µηχανισµών. ΧΡΗΣΤΟΣ ΣΓΑΡΑΣ Τµήµα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστηµάτων ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ 2007 iii
ABSTRACT Organizations underestimate how often they may be invoked to produce and supply reliable evidence of what has happened throughout their information and communication technology (ICT) systems. They also underestimate the requirements that the legal system makes in terms of ensuring the admissibility and reliability of digital evidence. Both of these can have a profound impact on business prosperity. On their way to forensic readiness, organizations should first of all analyze potential risks in order to determine which are likely to be the most frequent and threatening events and, consequently, identify possible digital evidence sources. Admissibility and weight of evidence are the characteristics that must serve as the steering factors while seeking for reliable digital evidence. Moreover, maintaining the chain of evidence during the investigative process is of utter significance in order to assert and support the followed procedure. Technological solutions provide a wide range of digital investigation capabilities that extend from handheld and portable storage devices to complex networked information systems. The use of specialized software tools can facilitate and automate the investigation while maintaining the chain of custody. In any case, organization s due diligence can be demonstrated with the existence of detailed system documentation and well - defined and documented procedures for their maintenance (e.g. change, configuration and release management). On the other hand, legal constraints are defined through European and national legal and regulatory frameworks in order to set the appropriate boundaries within which technology solutions may operate. Major legal issues that may arise during a corporate digital investigation pertain to evidential value of electronic documents in electronic legal acts, admissibility of the digital evidence in court, respect of individual s privacy and human rights during digital investigations and workplace electronic surveillance. By inference, organizations could be defeated in legal disputes and forfeit insurance claims because of their inability to collect and preserve reliable evidence from their ICT systems. The need for ICT forensic readiness is of paramount importance for the corporate welfare since it is profoundly related to safeguarding the organization s interests and reputation should a crisis has taken place. Proactive actions should be taken in preparing the appropriate measures at administrative and technical level, such as evidence oriented risk analysis, forensic procedures definition, technical mechanisms deployment and evidence handling user awareness. CHRISTOS SGARAS Department of Information and Communication Systems Engineering UNIVERSITY OF THE AEGEAN 2007 iv
ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ ΠΕΡΙΛΗΨΗ... iii ABSTRACT...iv ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ...v ΚΑΤΑΛΟΓΟΣ ΠΙΝΑΚΩΝ...vii ΚΑΤΑΛΟΓΟΣ ΕΙΚΟΝΩΝ... viii ΚΕΦΑΛΑΙΟ 1 - ΕΙΣΑΓΩΓΗ...9 ΚΕΦΑΛΑΙΟ 2 - ΨΗΦΙΑΚΑ ΑΠΟ ΕΙΚΤΙΚΑ ΣΤΟΙΧΕΙΑ...11 2.1 Η ανάγκη ύπαρξης ψηφιακών αποδεικτικών στοιχείων...11 2.2 Προβλήµατα κατά τη διενέργεια ψηφιακών διερευνήσεων σε επιχειρηµατικά περιβάλλοντα...14 2.3 Ψηφιακή διερεύνηση και ψηφιακά αποδεικτικά στοιχεία...15 2.4 Κύκλος ζωής των συµβάντων ασφάλειας και διερεύνησής τους...17 2.5 ιοικητικοί στόχοι...20 2.6 Προσδιορισµός των πιθανών πηγών αποδεικτικών στοιχείων...22 2.6.1 Κατηγορίες ψηφιακών αποδεικτικών στοιχείων...27 2.7 Χαρακτηριστικά των Αποδεικτικών Στοιχείων...29 2.7.1 Αποδεικτική ισχύς...29 2.7.2 Βαρύτητα...30 2.7.3 Συνοχή των αποδεικτικών στοιχείων...30 2.7.4 ιατήρηση της συνοχής των ψηφιακών αποδεικτικών στοιχειών...31 2.8 Βέλτιστες διαδικαστικές αρχές συλλογής Ψηφιακών αποδεικτικών Στοιχειών...33 2.8.1 Προτεινόµενες αρχές των G8 σχετικά µε τις διαδικασίες συλλογής ψηφιακών αποδεικτικών στοιχείων...33 2.8.2 Οδηγός βέλτιστων πρακτικών για τα ψηφιακά αποδεικτικά στοιχεία...34 2.8.3 Σύµβαση του Συµβουλίου της Ευρώπης για το έγκληµα στον κυβερνοχώρο...35 ΚΕΦΑΛΑΙΟ 3 - ΤΕΧΝΙΚΑ ΖΗΤΗΜΑΤΑ...37 3.1 Προσωπικοί υπολογιστές σταθµοί εργασίας...37 3.2 Υπολογιστικά συστήµατα µεγάλου εύρους...39 3.3 Ηλεκτρονικό ταχυδροµείο...42 3.4 εδοµένα από εξυπηρετητές διαδικτύου...45 3.5 εδοµένα δικτυακής κίνησης...46 3.6 Υπολογιστές παλάµης (PDA)...46 3.7 Φορητές συσκευές αποθήκευσης...47 3.8 εδοµένα από το διαδίκτυο...47 ΚΕΦΑΛΑΙΟ 4 - ΝΟΜΙΚΑ ΖΗΤΗΜΑΤΑ...49 4.1 Ηλεκτρονικά έγγραφα και ηλεκτρονική δικαιοπραξία...49 4.1.1 Ορισµός ηλεκτρονικού εγγράφου...49 4.1.2 Αποδεικτική ισχύς των ηλεκτρονικών εγγράφων στην ηλεκτρονική δικαιοπραξία.51 4.2 Αποδεικτική ισχύς των ψηφιακών αποδεικτικών στοιχείων στο δικαστήριο...56 4.2.1 Ορισµός ψηφιακών αποδεικτικών στοιχείων...57 4.2.2 Πλεονεκτήµατα και µειονεκτήµατα των ψηφιακών αποδεικτικών στοιχείων...57 4.2.3 Συλλογή, συντήρηση και παρουσίαση των ψηφιακών αποδεικτικών στοιχειών στο δικαστήριο...58 4.2.4 Αρχές που επηρεάζουν την αποδεικτική ισχύ των ψηφιακών αποδείξεων...59 4.2.5 Προστασία των θεµελιωδών δικαιωµάτων του ανθρώπου κατά τη διενέργεια ψηφιακών διερευνήσεων...60 4.3 Παρακολούθηση στον εργασιακό χώρο...61 4.3.1 Ανάλυση Κοινοτικού ρυθµιστικού πλαισίου...63 v
4.3.2 Ανάλυση ελληνικού ρυθµιστικού πλαισίου...66 4.4 Νοµολογία...69 4.4.1 Παραδείγµατα αποφάσεων από την κοινοτική νοµολογία...69 4.4.2 Παραδείγµατα αποφάσεων από την ελληνική νοµολογία...70 ΚΕΦΑΛΑΙΟ 5 - ΣΥΜΠΕΡΑΣΜΑΤΑ...77 5.1 Σχέδιο Ενεργειών ικανικής Ετοιµότητας ΠΕΣ...79 5.2 Οφέλη της ικανικής Ετοιµότητας ΠΕΣ...88 5.3 Μελλοντικά ζητήµατα...89 ΒΙΒΛΙΟΓΡΑΦΙΑ...90 vi
ΚΑΤΑΛΟΓΟΣ ΠΙΝΑΚΩΝ Πίνακας 2-1. Κύκλος ζωής περιστατικών ασφάλειας...17 Πίνακας 2-2. Πιθανές πηγές ψηφιακών αποδεικτικών στοιχείων...23 Πίνακας 4-1. Νοµικό πλαίσιο και ερµηνευτικές διατάξεις: Παρακολούθηση στον εργασιακό χώρο...62 Πίνακας 4-2. Νοµολογία: Προστασία των θεµελιωδών δικαιωµάτων...69 Πίνακας 4-3. Νοµολογία: Χρήση ψηφιακών αποδεικτικών στοιχείων...70 Πίνακας 4-4. Νοµολογία: Καταγραφή βίντεο µέσω καµερών...71 Πίνακας 4-5. Νοµολογία: Παρακολούθηση στον εργασιακό χώρο...74 Πίνακας 5-1. Σχέδιο Ενεργειών ικανικής Ετοιµότητας ΠΕΣ...79 vii
ΚΑΤΑΛΟΓΟΣ ΕΙΚΟΝΩΝ Εικόνα 1. Κόστος απωλειών ανά τύπο επίθεσης...12 Εικόνα 2. Εκτεταµένες πληροφορίες επικεφαλίδας email - Mozilla Thunderbird...43 Εικόνα 3. Εκτεταµένες πληροφορίες επικεφαλίδας email - Gmail...43 Εικόνα 4. Επίπεδα παρακολούθησης ανά κράτος σε παγκόσµιο επίπεδο...77 viii
ΚΕΦΑΛΑΙΟ 1 - ΕΙΣΑΓΩΓΗ Οι τεχνολογικές εξελίξεις που χαρακτηρίζουν την Κοινωνία της Πληροφορίας έχουν οδηγήσει στη µεταφορά και εκτέλεση των περισσότερων επιχειρησιακών δραστηριοτήτων των οργανισµών µέσω Πληροφοριακών και Επικοινωνιακών Συστηµάτων (ΠΕΣ). Η εξέλιξη αυτή, παρόλο που βελτιώνει αρκετά από τα εγγενή προβλήµατα των παραδοσιακών µεθόδων εκτέλεσης των επιχειρησιακών δραστηριοτήτων, δεν αποτελεί πανάκεια. Σε αρκετές περιπτώσεις, απλώς µετασχηµατίζεται η δυσκολία επίλυσης των ήδη υπαρχόντων προβληµάτων. Παραδείγµατος χάριν, η εξέλιξη των µεθόδων επικοινωνίας από το παραδοσιακό ταχυδροµείο στο ηλεκτρονικό, δεν επιλύει ζητήµατα όπως η απόδειξη της αυθεντικότητας του αποστολέα ή του µηνύµατος αλλά απλώς τα µεταφέρει σε ένα νέο τεχνολογικό πλαίσιο. Στην εξέλιξη αυτή πρέπει να ακολουθήσουν και οι µέθοδοι επίλυσης διενέξεων και διαφορών που ανακύπτουν στο νέο αυτό πλαίσιο της Κοινωνίας της Πληροφορίας. Σε αυτή την κατεύθυνση συµβάλλει ο καθορισµός του πλαισίου που διέπει τη συλλογή ψηφιακών αποδεικτικών στοιχείων τα οποία απαιτούνται σε ένα ευρύ φάσµα περιστάσεων, όπως: Για τη διευθέτηση αµφισβητούµενων συναλλαγών Για την απόδειξη µη αποδεκτής συµπεριφοράς υπαλλήλων Για τη συµµόρφωση µε νοµοθετικές ρυθµίσεις Για αποφυγή προστίµων σε περιπτώσεις αµέλειας ή παραβίασης σύµβασης Για τη συνδροµή κατά την επιβολή του νόµου και τις αντιτροµοκρατικές έρευνες Για την προσκόµιση αποδεικτικών στοιχείων σε περιπτώσεις όπου ανακύπτουν ασφαλιστικές αξιώσεις µετά από µια απώλεια. Παρά την έντονη διείσδυση των τεχνολογιών Πληροφορικής και Επικοινωνιών στην πλειονότητα των επιχειρησιακών διαδικασιών σήµερα, οι περισσότεροι οργανισµοί υποτιµούν τη συχνότητα µε την οποία ενδέχεται να κληθούν να προσκοµίσουν αξιόπιστα στοιχεία των γεγονότων που έχουν λάβει χώρα στα ΠΕΣ τους. Επίσης, είτε αγνοούν είτε υποτιµούν τις απαιτήσεις που επιβάλλει το νοµικό σύστηµα σχετικά µε την εξασφάλιση της αποδεικτικής ισχύος και της αξιοπιστίας των ψηφιακών αποδεικτικών στοιχείων. Αµφότερες οι δύο προηγούµενες διαπιστώσεις ελλοχεύουν δυσµενείς επιδράσεις στην ευηµερία ενός οργανισµού σε περίπτωση που δεν αντιµετωπισθούν αποτελεσµατικά. Παρόλο που τα προβλήµατα που ανακύπτουν κατά τη συλλογή ψηφιακών αποδεικτικών στοιχείων είναι κυρίως τεχνικής φύσεως, για την αποτελεσµατικότερη αντιµετώπιση του ζητήµατος θα πρέπει να συνεξετασθούν οι υφιστάµενες νοµικές απαιτήσεις, καθώς και να εκτιµηθούν οι επιπτώσεις στη συνέχεια της οµαλής λειτουργίας του οργανισµού. Οι νοµικές απαιτήσεις οριοθετούν το είδος των δεδοµένων που επιτρέπεται να συλλέγεται, υπό ποιες προϋποθέσεις και σε ποια έκταση είναι επιτρεπτή η χρησιµοποίησή τους. 9
Οι παραπάνω απαιτήσεις οδηγούν στην ανάγκη ύπαρξης ενός σχεδίου δικανικής ετοιµότητας των ΠΕΣ κάθε οργανισµού, το οποίο θα καθιστά τη συλλογή ψηφιακών αποδεικτικών στοιχείων µέρος της λειτουργίας τους, µειώνοντας το απαιτούµενο κόστος και χρόνο. Σε αυτή την κατεύθυνση συµβάλλει η ικανική Πληροφορική 1 που αποτελεί σύνθεση της επιστήµης της πληροφορικής και της νοµικής επιστήµης και έχει ως στόχο την εφαρµογή της πληροφορικής ώστε να παραχθούν αποδεικτικά στοιχεία που προέρχονται από ΠΕΣ και µπορούν να συνεισφέρουν στη δικονοµική διαδικασία. Στο κείµενο που ακολουθεί επιχειρείται να καταγραφεί συνοπτικά το πλαίσιο που προσδιορίζεται από τα τεχνικά και, κυρίως, τα νοµικά όρια και τις δυνατότητες που υφίστανται κατά τη συλλογή ψηφιακών αποδεικτικών στοιχείων. Στο επόµενο κεφάλαιο περιγράφονται τα γενικά χαρακτηριστικά που πρέπει να πληρούν τα ψηφιακά αποδεικτικά στοιχεία ώστε να είναι αποδεκτά και να έχουν τη µέγιστη αποδεικτική ισχύ κατά την χρήση τους στο δικαστήριο. Επίσης αναλύεται ο κύκλος ζωής της αντιµετώπισης ενός περιστατικού ασφάλειας και οι απαιτήσεις συνοχής της διαδικασίας συλλογής των αποδεικτικών στοιχείων. Στο τρίτο κεφάλαιο αναλύονται τεχνικά ζητήµατα που αφορούν στη συλλογή ψηφιακών αποδεικτικών στοιχείων. Συγκεκριµένα, προσδιορίζονται οι δυνατότητες ανεύρεσης ψηφιακών αποδεικτικών στοιχείων που υπάρχουν σε κάθε περίπτωση υπολογιστικού συστήµατος ή δικτύου. Στο τέταρτο κεφάλαιο παρατίθενται τα νοµικά ζητήµατα που αφορούν στη συλλογή ψηφιακών αποδεικτικών στοιχείων. Ειδικότερα, αναλύονται ζητήµατα που αφορούν στην αποδεικτική ισχύ των ηλεκτρονικών εγγράφων στην ηλεκτρονική δικαιοπραξία, την αποδεικτική ισχύ των ψηφιακών αποδεικτικών στοιχείων στο δικαστήριο και την παρακολούθηση στον εργασιακό χώρο. Επίσης, παρατίθενται ενδεικτικά παραδείγµατα αποφάσεων από την κοινοτική και ελληνική νοµολογία. Τέλος, στο πέµπτο και τελευταίο κεφάλαιο εξάγονται τα συµπεράσµατα της παρούσας µελέτης, προσδιορίζεται το σχέδιο ενεργειών προς τη δικανική ετοιµότητα ΠΕΣ, αναλύονται τα οφέλη της και εντοπίζονται τα µελλοντικά ζητήµατα. 1 Η απόδοση του όρου Computer Forensics ή Forensic Computing στην ελληνική γλώσσα όπως απαντάται στο [1]. 10
ΚΕΦΑΛΑΙΟ 2 - ΨΗΦΙΑΚΑ ΑΠΟ ΕΙΚΤΙΚΑ ΣΤΟΙΧΕΙΑ 2.1 Η ανάγκη ύπαρξης ψηφιακών αποδεικτικών στοιχείων Τα ψηφιακά αποδεικτικά στοιχεία συνήθως είναι ιδιαίτερα ευµετάβλητα και η δικονοµική τους βαρύτητα εκπίπτει λόγω ανεπαρκών χειρισµών κατά τη συλλογή τους. Οι πιθανότητες άσκησης ποινικής δίωξης αλλά και της επιτυχούς έκβασης της δικαστικής διαδικασίας εξαρτώνται σε µεγάλο βαθµό στην ύπαρξη ισχυρών αποδεικτικών στοιχείων. Επίσης, ενδεχόµενη αποτυχία κατά την προσφυγή στα αστικά δικαστήρια συνεπάγεται οικονοµικών απωλειών, καθώς επίσης και ζηµίας στην δηµόσια εικόνα του οργανισµού εξαιτίας της αποτυχηµένης έκβασης της δίκης. Ενώ αρκετοί οργανισµοί λαµβάνουν προληπτικά µέτρα και καταρτίζουν σχέδια επιχειρηµατικής συνέχειας για περιπτώσεις πυρκαγιάς, πληµµύρας, διακοπής της ηλεκτρικής ενέργειας και των τηλεπικοινωνιακών υπηρεσιών ή τροµοκρατικών πράξεων, ελάχιστοι έχουν προσδιορίσει ένα σχέδιο βάσει του οποίου θα συλλέγονται ψηφιακά αποδεικτικά στοιχεία τα οποία θα δύνανται να χρησιµοποιηθούν ως ισχυρές αποδείξεις σε ενδεχόµενες νοµικές διαδικασίες [2]. Εντούτοις, η ανάγκη για ψηφιακά αποδεικτικά στοιχεία απαντάται όλο και συχνότερα συγκριτικά µε τα αίτια που δηµιουργούν την ανάγκη ύπαρξης σχεδίου επιχειρηµατικής συνέχειας. Ελάχιστοι οργανισµοί διαθέτουν οργανωτικές δοµές οι οποίες θα ήταν σε θέση να διεξάγουν µια αποτελεσµατική και οικονοµικώς αποδοτική ψηφιακή διερεύνηση, η οποία ταυτόχρονα δε θα προκαλεί υψηλό αντίκτυπο στη συνέχεια της επιχειρηµατικής λειτουργίας. Τα µεγάλα οικονοµικά σκάνδαλα που παρουσιάστηκαν την τελευταία δεκαετία είχαν ως αποτέλεσµα την εξέλιξη του νοµοθετικού και κανονιστικού πλαισίου σε παγκόσµιο επίπεδο, ώστε να επιβάλλεται στις επιχειρήσεις η παραγωγή και διατήρηση αρχείου για κρίσιµα επιχειρηµατικά δεδοµένα. Γνωστότερος όλων, ο αµερικανικός νόµος Sarbanes-Oxley [3] ο οποίος προβλέπει ρητά ποινικές ρήτρες για τη σκόπιµη καταστροφή ορισµένων απαραίτητων αρχείων. Η Επιτροπή της Βασιλείας για την Τραπεζική Εποπτεία µε το νέο πλαίσιο Κεφαλαιακής Επάρκειας του 2006 ("Βασιλεία ΙΙ") [4] απαιτεί από τις επιχειρήσεις που παρέχουν οικονοµικές υπηρεσίες να διεξαγάγουν µια ευρεία αξιολόγηση κινδύνου των δανειοληπτών και των επενδυτών. Επίσης, το Πρότυπο Ασφάλειας εδοµένων PCI DSS (Payment Card Industry Data Security Standard) [5] το οποίο εκδίδεται από τις µεγαλύτερες εταιρίες πιστωτικών καρτών (Visa, MasterCard, American Express, Discover, JCB) απαιτεί την ύπαρξη διαδικασιών που θα υποστηρίζουν έγκαιρα και αποτελεσµατικά τις ψηφιακές έρευνες σε περιπτώσεις εισβολών και διαρροών δεδοµένων. Εξάλλου, η ετήσια έρευνα του Computer Security Institute (CSI) [6], αναφέρει ότι για το 2007 το συνολικό κόστος των απωλειών (σε δείγµα 494 αµερικανικών επιχειρήσεων) εξαιτίας επιθέσεων που δέχθηκαν µέσω των ΠΕΣ τους ανέρχεται σε $66.930.950, εµφανίζοντας ως κυριότερο τύπο επίθεσης την οικονοµική απάτη µε κόστος απωλειών $21.124.750. Μάλιστα, το 11
µέσο κόστος απωλειών ανά επιχείρηση διπλασιάστηκε σε $345.005 το 2007 από $167.713 το 2006. Εικόνα 1. Κόστος απωλειών ανά τύπο επίθεσης (πηγή: CSI Survey 2007) Αν και οι τάξεις µεγέθους που αποτυπώνει η παραπάνω έρευνα δεν µπορούν να αναχθούν µε ευκολία στα ελληνικά δεδοµένα, παρέχουν µια εκτίµηση του διεθνούς επιχειρηµατικού σκηνικού σχετικά µε το ηλεκτρονικό έγκληµα στον επιχειρηµατικό χώρο. Σκοπός του παρόντος κειµένου είναι να επισηµάνει την ανάγκη ύπαρξης ψηφιακών αποδεικτικών στοιχείων και να περιγράψει τις απαραίτητες διοικητικές διαδικασίες και τους πόρους που απαιτούνται ώστε κάθε οργανισµός να είναι σε θέση να παράγει αξιόπιστα ψηφιακά αποδεικτικά στοιχεία δρώντας προληπτικά και µειώνοντας το κόστος και το χρόνο που απαιτείται για τη συλλογή τους. 12
Παρόλο που οι λεπτοµέρειες της συλλογής και της ανάλυσης των ψηφιακών αποδεικτικών στοιχείων είναι περισσότερο θέµα τεχνικών δεξιοτήτων, µεγάλο τµήµα τους εξαρτάται ουσιαστικά από το επίπεδο ετοιµότητας στον οποίο βρίσκεται ο οργανισµός. Όπως θα διαπιστωθεί στη συνέχεια του κειµένου, κατά τη διάρκεια της συλλογής ψηφιακών αποδεικτικών στοιχείων παρουσιάζεται συχνά το αντικρουόµενο δίληµµα της σωστής διατήρησης των στοιχείων - που ενδεχοµένως να σηµαίνει τη διακοπή των υπηρεσιών κρίσιµων υπολογιστών συστηµάτων για τη διάρκεια της συλλογής - και της οµαλής επιχειρηµατικής συνέχειας. Η λήψη αυτών των αποφάσεων έγκειται στην κρίση των ανώτερων επιχειρησιακών στελεχών και όχι στους τεχνικούς υπολογιστών ή στους εκάστοτε εξωτερικούς συµβούλους. Εξάλλου, ο ελλιπής πρότερος σχεδιασµός ενδέχεται να επιφέρει σύγχυση στο εµπλεκόµενο προσωπικό το οποίο πιθανώς να αποπροσανατολιστεί στο λαβύρινθο των διερευνητικών και νοµικών διαδικασιών σε βάρος της συνέχισης της επιχειρηµατικής λειτουργίας. Το κείµενο που ακολουθεί παρέχει την απαραίτητη καθοδήγηση για τη δηµιουργία µιας κατάλληλης επιχειρηµατικής στρατηγικής σχετικά µε την ετοιµότητα συλλογής ψηφιακών αποδεικτικών στοιχείων. 13
2.2 Προβλήµατα κατά τη διενέργεια ψηφιακών διερευνήσεων σε επιχειρηµατικά περιβάλλοντα Η διενέργεια ψηφιακής διερεύνησης σε επιχειρηµατικό περιβάλλον δεν είναι εντελώς απρόσκοπτη. Αντιθέτως, παρουσιάζει αρκετά προβλήµατα και δυσκολίες όταν ο σκοπός είναι η παραγωγή αξιόπιστων αποδεικτικών στοιχείων [7]. Ένα από τα προβλήµατα που αντιµετωπίζουν οι περισσότεροι οργανισµοί στην προσπάθειά τους να προετοιµασθούν ώστε να υπάρχει η δυνατότητα διενέργειας ψηφιακών διερευνήσεων και συλλογής αξιόπιστων ψηφιακών αποδεικτικών στοιχείων είναι η έλλειψη επαρκούς τεκµηρίωσης σχετικά µε τις διαδικασίες που πρέπει να ακολουθούνται. Ιδιαίτερα µέχρι πριν λίγα χρόνια, σχεδόν το σύνολο της διαθέσιµης τεκµηρίωσης και των εκπαιδευτικών σεµιναρίων απευθύνονταν κυρίως προς τις διωκτικές αρχές παρά προς επιχειρηµατικά περιβάλλοντα. Το πρόβληµα σε αυτή την περίπτωση είναι ότι ο σκοπός µιας έρευνας που διενεργείται από τις διωκτικές αρχές διαφέρει καθολικά από αυτόν ενός οργανισµού. Οι διωκτικές αρχές έχουν ως κύριο σκοπό τη συλλογή στοιχείων µε στόχο την καταδίκη του ενόχου ενώ οι περισσότεροι οργανισµοί ενδιαφέρονται κυρίως να περισώσουν τη δηµόσια εικόνα τους και να επαναφέρουν τα συστήµατα στην αρχική λειτουργία τους. Ακόµα και στις περιπτώσεις όπου ένας οργανισµός έχει ως σκοπό την καταδίκη του ενόχου, οι οικονοµικές απώλειες, λόγω της δηµοσιοποίησης του συµβάντος, είναι πολύ πιθανό να είναι µεγαλύτερες από το κέρδος της καταδίκης. Ένα επίσης σοβαρό ζήτηµα που δυσχεραίνει τις ψηφιακές διερευνήσεις σε ένα επιχειρηµατικό περιβάλλον είναι το γεγονός ότι τις περισσότερες φορές προτιµάται η συνέχεια της παραγωγικής λειτουργίας από τη διακοπή ενός συστήµατος ώστε να προχωρήσει η έρευνα. Για παράδειγµα, αν δεν υπάρχει πλεονασµατική υποδοµή για έναν κρίσιµο διακοµιστή, το πιθανότερο είναι ότι ο οργανισµός θα προτιµήσει να διακόψει την έρευνα αντί της διακοπής της λειτουργίας του διακοµιστή. Το σφάλµα σε µια τέτοια απόφαση έγκειται στο γεγονός ότι λαµβάνεται µε γνώµονα την προφανή απώλεια κερδών, σε περίπτωση διακοπής της παραγωγικής λειτουργίας, αγνοώντας τις επιπτώσεις που ενδέχεται να επιφέρει η µη διερεύνηση του περιστατικού ασφάλειας οι οποίες µπορεί απειλήσουν ακόµα και τη βιωσιµότητα του οργανισµού. Τέλος, ένα σηµαντικό ζήτηµα είναι οι ενέργειες των υπόλοιπων τµηµάτων ενός οργανισµού κατά τη διενέργεια µιας ψηφιακής διερεύνησης. Για παράδειγµα, το τµήµα Ανθρωπίνου υναµικού γνωρίζει τις διαδικασίες που πρέπει να ακολουθήσει σε περίπτωση συστηµατικής αποχής ενός υπαλλήλου από τα καθήκοντά του αλλά συνήθως δεν ισχύει το ίδιο σε περίπτωση κατάχρησης ενός υπολογιστικού συστήµατος από έναν υπάλληλο. Επίσης, τα νοµικά τµήµατα των οργανισµών σπανίως είναι καταρτισµένα σε θέµατα τεχνολογίας αλλά και της νοµοθεσίας που σχετίζεται µε αυτή. 14
2.3 Ψηφιακή διερεύνηση και ψηφιακά αποδεικτικά στοιχεία Οι αφορµές για τις ψηφιακές έρευνες δεν περιορίζονται στα διαβόητα κυβερνοεγκλήµατα τα οποία απολαµβάνουν της ευρείας προσοχής του Τύπου. Πολύ πιο συχνά απαντώνται περιπτώσεις συµβατικών και εργατικών διαµαχών οι οποίες, εάν δεν αντιµετωπιστούν κατάλληλα, µπορούν να προκαλέσουν αξιόλογες άµεσες και έµµεσες απώλειες στους οργανισµούς. Αρκετές από αυτές τις περιπτώσεις λαµβάνουν χώρα στους περισσότερους οργανισµούς, και αφορµή µπορεί να αποτελέσουν: απάτες που διαπράττονται από υπαλλήλους ή τρίτους συµβατικές διαµάχες κατάχρηση του ιαδικτύου ή του Ηλεκτρονικού Ταχυδροµείου online δυσφήµηση εργατικές διαµάχες σεξουαλικές παρενοχλήσεις απόκτηση και αποθήκευση πορνογραφικού ή παιδοφιλικού υλικού κλοπή εµπιστευτικών δεδοµένων και βιοµηχανική κατασκοπεία κλοπή πηγαίου κώδικα και πειρατεία λογισµικού µη εξουσιοδοτηµένη πρόσβαση από υπαλλήλους µη εξουσιοδοτηµένη πρόσβαση από εξωτερικές οντότητες (hacking) και µη εξουσιοδοτηµένη τροποποίηση δεδοµένων (ιοί, δούρειοι ίπποι, κ.λπ.) κατάχρηση εταιρικών υπολογιστικών πόρων για ιδιωτική εκµετάλλευση χρήση εταιρικών υπολογιστικών πόρων για σκοπούς διαµοιρασµού αρχείων στο ιαδίκτυο (π.χ. peer to peer) τα οποία είναι άσεµνα ή παραβιάζουν τους νόµους περί πνευµατικής ιδιοκτησίας χρήση εταιρικών υπολογιστικών πόρων στα πλαίσια εκτέλεσης µιας γενικότερης εγκληµατικής πράξης έναντι τρίτων ζηµία στα υπολογιστικά συστήµατα του οργανισµού µε αποτέλεσµα την πρόκληση ταυτόχρονης ζηµίας σε τρίτους και επιδίωξη απόδοσης των συµβατικών ευθυνών του κάθε εµπλεκόµενου µέρους νοµική υποστήριξη των ισχυρισµών ενός οργανισµού κατά των προµηθευτών του σε περιπτώσεις παροχής υπηρεσιών χαµηλότερης ποιότητας από την προβλεπόµενη στη συνηµµένη σύµβαση απόπειρες εκβιασµού είτε σε φυσικό είτε σε λογικό επίπεδο (π.χ. απειλή επίθεσης άρνησης υπηρεσιών) επιθέσεις «ψαρέµατος» (phishing) επιθέσεις Άρνησης Υπηρεσίας (Denial of Service - DoS) ασφαλιστικές αξιώσεις που απορρέουν σε αρκετές από τις προηγούµενες περιπτώσεις 15
Αρκετές φορές ένας οργανισµός ενδέχεται να αναµιχθεί σε περιπτώσεις διερεύνησης υπολογιστικών συστηµάτων παρά τη θέλησή του. Υπάρχει πιθανότητα, είτε σε ποινικές είτε σε αστικές δικαστικές διαµάχες, να ζητηθεί από τον οργανισµό η αποκάλυψη πληροφοριών οι οποίες παράγονται στα υπολογιστικά του συστήµατα ακόµη και αν δεν είχε ενεργή συµµετοχή στην τέλεση της αξιόποινης πράξης. Συχνά οι εγκληµατολογικές έρευνες που περιλαµβάνουν ψηφιακή διερεύνηση υπολογιστικών συστηµάτων αποτυγχάνουν στη συλλογή αποδεικτικών στοιχείων, από τα πρώτα κιόλας στάδια της έρευνας, λόγω διαδικαστικών σφαλµάτων όπου σηµαντικά ψηφιακά στοιχεία αγνοούνται, καταστρέφονται ή αντιµετωπίζονται πληµµελώς. Το γεγονός και µόνο ότι πρέπει να διεξαχθεί µια εσωτερική έρευνα µπορεί να δηµιουργήσει µια κρίση εντός του οργανισµού θύµα, η οποία και πρέπει να διαχειριστεί καταλλήλως και αποτελεσµατικά. Μερικά από τα ερωτήµατα που πρέπει να απαντηθούν είναι: Σε ποιον πρέπει να αναφέρονται αρχικές υποψίες ενδεχόµενων συµβάντων; Ποιος έχει την ευθύνη της έρευνας εντός του οργανισµού; Ποιοι θα πρέπει να εµπλακούν στην έρευνα; Ποιες διαδικασίες πρέπει να ακολουθηθούν; Ποια χαρακτηριστικά πρέπει ιδανικά να πληρούν τα αποδεικτικά στοιχεία; Ποια βήµατα είναι απαραίτητα για τον εντοπισµό των σχετικών ψηφιακών αποδεικτικών στοιχείων και πώς πρέπει να διατηρηθούν αξιόπιστα µετά τον εντοπισµό τους; Ποιες νοµικές υποχρεώσεις πρέπει να ληφθούν υπόψη; Πώς µπορεί να διεξαχθεί αποτελεσµατικά η έρευνα δίχως να δυσχεραίνει ουσιαστικά τις καθηµερινές δραστηριότητες; Είναι απαραίτητη εξωτερική βοήθεια; Είναι απαραίτητη η αναφορά των πιθανολογούµενων εγκληµάτων στις αρχές; Σε περίπτωση που αναφερθεί το έγκληµα στις αρχές, πώς διαχειρίζεται η επαφή και οι επικοινωνία µε αυτές; Ποιος είναι ο ρόλος της ανώτερης διοίκησης κατά τη διάρκεια της έρευνας και πώς διαχειρίζεται την οµαλή επιχειρηµατική συνέχεια του οργανισµού; 16
2.4 Κύκλος ζωής των συµβάντων ασφάλειας και διερεύνησής τους Είναι γεγονός ότι η διαδικασία που ακολουθείται σε δύο ξεχωριστές ψηφιακές έρευνες δεν µπορεί να είναι απολύτως πανοµοιότυπη, καθώς υπάρχουν µοναδικά χαρακτηριστικά σε κάθε περίπτωση τα οποία διαφοροποιούν τις διαδικαστικές λεπτοµέρειες της έρευνας. Παρόλα αυτά, µπορούν να προσδιορισθούν ορισµένες βασικές δραστηριότητες [8][9] οποίες θα πρέπει να ακολουθούνται κατά την αντιµετώπιση ενός περιστατικού και την διερεύνηση του. Στον Πίνακας 2-1, που ακολουθεί, αποτυπώνονται οι ενέργειες που θα πρέπει να λαµβάνουν χώρα κατά τη διάρκεια ενός περιστατικού ασφάλειας ώστε να υπάρξει δοµηµένη διαδικασία συλλογής αποδεικτικών στοιχείων. Πίνακας 2-1. Κύκλος ζωής περιστατικών ασφάλειας Ανίχνευση Η ανίχνευση ενός περιστατικού ασφάλειας µπορεί να προκύψει έπειτα από απλά γεγονότα, όπως ύποπτη συµπεριφορά ενός συστήµατος έως πιο προφανή και άµεσα γεγονότα όπως η ολική κατάρρευση ενός συστήµατος ή η παραλαβή εκβιαστικών µηνυµάτων Αναφορά Κάθε οργανισµός οφείλει να έχει προκαθορίσει το πρόσωπο στον οποίο θα γίνεται η αναφορά των περιστατικών ασφάλειας που ανιχνεύονται. Η διαδικασία της αναφοράς συνήθως δεν είναι στιγµιαία αλλά αποτελείται, ενδεχοµένως, από επιµέρους αναφορές οι οποίες κάθε φορά προσθέτουν νέα δεδοµένα σχετικά µε το περιστατικό. Αρχική ιάγνωση ιοικητικές ενέργειες µετά την αρχική διάγνωση Συλλογή αποδεικτικών στοιχείων Ο αποδέκτης της αναφοράς του περιστατικού ασφάλειας πρέπει να έχει την ικανότητα, την εµπειρία, τους πόρους και την ανάλογη επιρροή ώστε να κάνει µια αρχική αξιολόγηση του συµβάντος και να παράσχει την αρχική καθοδήγηση για την αντιµετώπισή του. Σε αυτό το σηµείο ενηµερώνεται η διοίκηση του οργανισµού, δηµιουργείται µια οµάδα χειρισµού του περιστατικού και αποδίδονται οι ρόλοι που θα εκτελέσουν τις σχετικές ενέργειες. Αναλύονται οι πιθανές πηγές αποδεικτικών στοιχείων για το συγκεκριµένο περιστατικό ασφάλειας και προχωρά η συλλογή τους βάσει ελεγχόµενων συνθηκών. 17
Πίνακας 2-1. Κύκλος ζωής περιστατικών ασφάλειας Μεταγενέστερη ιάγνωση ιοικητικές ενέργειες µετά την µεταγενέστερη διάγνωση Ενέργειες ανάκαµψης πόρων και επιχειρηµατικών διαδικασιών ιορθωτικές ενέργειες Αστικές νοµικές ενέργειες Υποστήριξη από τις αρµόδιες αρχές Η αρχική διάγνωση είναι αρκετά πιθανό να αποδειχθεί λανθασµένη. Η συλλογή όλο και περισσότερων στοιχείων οδηγεί σε πιο εµπεριστατωµένη διάγνωση του περιστατικού ασφάλειας, η οποία µπορεί να διαφέρει από την αρχική. Καθώς η φύση του προβλήµατος γίνεται σαφέστερη, ο οργανισµός είναι σε θέση να καθορίσει τους στόχους του µε µεγαλύτερη σαφήνεια και βεβαιότητα. Μόλις επιλυθούν οι άµεσοι κίνδυνοι για την ακεραιότητα των πληροφοριακών συστηµάτων, οι στόχοι θα τείνουν να γίνονται πιο µακροπρόθεσµοι. Σε κάθε περίπτωση, η εµπλοκή της διοίκησης δεν παύει µέχρι το πέρας τη διαδικασίας όπου και βγαίνουν τα τελικά συµπεράσµατα για το περιστατικό. Σε περίπτωση που έχουν παραβιαστεί υπολογιστικά συστήµατα, έχει επέλθει διακοπή σε κάποια επιχειρηµατική διαδικασία, υπάρχει απώλεια πόρων ή έχουν δηµοσιοποιηθεί κάποιες πλευρές του περιστατικού, θα πρέπει να υπάρξουν ενέργειες αποκατάστασης και ανάκαµψης των επιχειρηµατικών διαδικασιών στην κανονική τους λειτουργία. Η αντιµετώπιση του περιστατικού ασφάλειας πρέπει να χρησιµοποιηθεί ως εµπειρία για µετέπειτα και να οδηγήσει στην επιλογή των κατάλληλων διορθωτικών που θα αποτρέψουν την επανάληψή του, όπως π.χ. νέες διαδικασίες διαχείρισης και έλεγχου των µέτρων ασφάλειας, Στη φάση αυτή εγείρονται αστικές νοµικές αξιώσεις, όπως η απαίτηση αποζηµίωσης σε περίπτωση που υπάρχει ασφαλιστική κάλυψη της ζηµίας. Σε περίπτωση που αποφασισθεί η κλιµάκωση της αντιµετώπισης του περιστατικού και σε δικαστικό επίπεδο, θα πρέπει να υπάρχουν οι κατάλληλες διαδικασίες επικοινωνίας µε τις αρµόδιες αρχές, καθώς και για την προσκόµιση των αποδεικτικών στοιχείων σε αυτές. 18
Πίνακας 2-1. Κύκλος ζωής περιστατικών ασφάλειας Ποινική δίωξη Σε περίπτωση που αποφασισθεί η ποινική δίωξη των υπαίτιων του περιστατικού, ο οργανισµός θα πρέπει να είναι προετοιµασµένος για την υποστήριξη των αποδεικτικών στοιχείων και την παροχή συµπληρωµατικών πληροφοριών. 19
2.5 ιοικητικοί στόχοι Οι ενέργειες που εκτελούνται κατά τη διάρκεια της διερεύνησης ενός περιστατικού ασφάλειας βρίσκονται εκτός του εύρους των βασικών δραστηριοτήτων των περισσοτέρων οργανισµών. Η εύθραυστη ισορροπία των αντικρουόµενων συµφερόντων, στο εσωτερικό ενός οργανισµού, διακυβεύεται κάθε φορά που αναφύεται µια απροσδόκητη κρίση. Κύριος στόχος της δικανικής ετοιµότητας δεν είναι η αύξηση του εισοδήµατος ή του κέρδους, αλλά ο µετριασµός της απώλειας. Μια ψηφιακή έρευνα ενεργοποιείται συνήθως από µια κρίση αλλά µπορεί να γίνει και ανεξάρτητα, δίχως την ύπαρξη προφανούς αφορµής. Από τη στιγµή που ένας οργανισµός επιδιώξει να προλάβει το πρόβληµα υπάρχουν αρκετά ζητήµατα τα οποία πρέπει να αντιµετωπισθούν σχετικά µε την επάρκεια και τον καταµερισµό των πόρων. Το αντιστάθµισµα έναντι των κινδύνων που δηµιουργούνται από την έλλειψη ετοιµότητας είναι οι κίνδυνοι αδικαιολόγητων εξόδων καθώς και ανθρώπινου δυναµικού το οποίο ενδεχοµένως να µη χρησιµοποιηθεί ποτέ. Ως ένα βαθµό όλες οι κρίσεις έχουν κοινά χαρακτηριστικά γνωρίσµατα και µπορούν να αντιµετωπισθούν µέσω ενός κοινού σχεδίου επιχειρηµατικής συνέχειας. Είναι γεγονός ότι τα σχέδια επιχειρηµατικής συνέχειας για την αντιµετώπιση µιας επιχειρηµατικής διακοπής λόγω πυρκαγιάς, πληµµύρας, τροµοκρατικής δράσης ή αστοχίας τηλεπικοινωνιακών υπηρεσιών απαρτίζονται από αρκετά κοινά και παρόµοια χαρακτηριστικά. Πρώτιστο µέληµα ενός οργανισµού είναι να επιβιώσει µιας κρίσης ώστε να είναι σε θέση να µπορεί να συνεχίσει να εξυπηρετεί τους πελάτες του, να εκπληρώσει τις υποχρεώσεις του στους οφειλέτες, τις τράπεζες, τους υπαλλήλους και το κράτος και, πολύ περισσότερο, να συνεχισθεί η εισροή χρηµάτων και η παραγωγή κέρδους. Χαρακτηριστικοί στόχοι υψίστου επιπέδου κατά τη διάρκεια µιας κρίσης είναι οι ακόλουθοι: ανασυγκρότηση του οργανισµού ώστε να συνεχισθούν οι κύριες δραστηριότητές του ταχεία αποκατάσταση στην πλήρως λειτουργική κατάσταση αποκατάσταση των κρίσιµων πόρων του οργανισµού κάλυψη ασφαλιστικών αξιώσεων νοµικές αξιώσεις έναντι τρίτων τήρηση συµβατικών υποχρεώσεων έναντι τρίτων συµβολή στο έργο των αρχών για νοµικά ζητήµατα Εξάλλου, εµπόδιο στις ψηφιακές έρευνες αποτελεί η ρευστότητα των διοικητικών στόχων ανάλογα µε τις πληροφορίες που συλλέγονται και τη γνώση που εξάγεται κατά την εξέλιξη της έρευνας. Παραδείγµατος χάριν, είναι δεδοµένη µια σύγκρουση µεταξύ της απαίτησης για συλλογή ψηφιακών αποδεικτικών στοιχείων και της απαίτησης για επιχειρηµατική συνέχεια των κρίσιµων συστηµάτων που υποστηρίζουν τη λειτουργία του οργανισµού. Συνεπώς, κρίνεται 20
απαραίτητη η ύπαρξη ενός διοικητικού πλαισίου βάσει του οποίου λαµβάνονται αποφάσεις κατά τη διάρκεια κρίσεων. Μερικά καίρια ερωτήµατα που πρέπει να απαντηθούν είναι τα ακόλουθα: Σε ποιον πρέπει να γίνονται οι αρχικές αναφορές; Με ποιον τρόπο γίνεται η διάγνωση και αντιµετώπιση ενός επείγοντος προβλήµατος; Ποιος θα αξιολογήσει το συνολικό αντίκτυπο επί του οργανισµού; Πώς η διοίκηση του οργανισµού θα είναι σε θέση να λάβει κρίσιµες αποφάσεις; Ποιος θα συντονίσει την έρευνα, την αποκατάσταση, τις επαφές µε τρίτους, τον αντίκτυπο των δηµόσιων σχέσεων, τις νοµικές πτυχές; Παρά την ύπαρξη, ενδεχοµένων, σχεδίων επιχειρηµατικής συνέχειας από φυσικές καταστροφές, υπάρχουν ορισµένα µοναδικά χαρακτηριστικά γνωρίσµατα στις ψηφιακές έρευνες, που εξετάζονται στη συνέχεια, τα οποία θα πρέπει να εξεταστούν χωριστά. Το βέβαιο είναι ότι ο οργανισµός θα χρειαστεί µια εκτελεστική µονάδα στην οργάνωσή του. Αυτή µπορεί να είναι µια υπάρχουσα µονάδα επιχειρηµατικής συνέχειας, ή µια επέκταση αυτής, είτε ακόµη και µια απολύτως νέα µονάδα. Κάθε οργανισµός θα πρέπει να λάβει τις αποφάσεις του σύµφωνα µε τις ανάγκες του. Τέλος, υπάρχει το ζήτηµα της έκτασης που θα έχει η συγκεκριµένη µονάδα. Θα πρέπει επίσης να εξεταστεί αν απαιτείται η ύπαρξη εσωτερικής εξειδίκευσης και κατάρτισης στη δικανική πληροφορική, αν απαιτείται η συνδροµή εξωτερικών συµβούλων, ή ένας υβριδικός συνδυασµός των δύο επιλογών. 21
2.6 Προσδιορισµός των πιθανών πηγών αποδεικτικών στοιχείων Οι τύποι αποδεικτικών στοιχείων που αποφασίζεται ότι πρέπει να συλλέξει ένας οργανισµός, καθώς και η µέθοδος συλλογής τους, πρέπει να προκύπτουν βάσει διαφόρων σεναρίων κινδύνων. Οι πολιτικές ασφάλειάς κάθε οργανισµού θα πρέπει να αναπτύσσονται βάσει µιας προηγηθείσας ανάλυσης κινδύνου. Βάσει της ανάλυσης κινδύνου, αρχικά συλλέγονται στοιχεία αναφορικά µε τις απειλές που σχετίζονται µε τον τύπο της επιχείρησής τους και εκτιµάται κάθε κίνδυνο βάσει της συχνότητας και της επίπτωσης υλοποίησής του. Στην κλασική µορφή της ανάλυσης κινδύνου, το αποτέλεσµα είναι συνήθως ένα σύνολο προληπτικών και ανιχνευτικών µηχανισµών ασφάλειας που πρέπει να υλοποιηθούν ώστε να µετριασθεί ο προσδιορισµένος κίνδυνος. Σε ορισµένες περιπτώσεις, προστίθενται µέτρα που αποσκοπούν στη µετρίαση της ζηµίας και την ανάκτηση των απωλειών. Μεταξύ άλλων, τα προτεινόµενα µέτρα ασφάλειας περιλαµβάνουν διοικητικές αλλαγές, ελεγκτικούς µηχανισµούς, υλοποίηση κατάλληλων τεχνολογιών, ασφάλιση και συµβάσεις για χρήση εναλλακτικών χώρων ανάκτησης από καταστροφή. Στην πλειοψηφία των περιπτώσεων, δεν είναι δυνατόν η ανάλυση κινδύνου να βασιστεί σε ακριβή οικονοµικά µεγέθη λόγω της έλλειψης αναλυτικών οικονοµικό-λογιστικών στοιχείων. Σε κάθε περίπτωση, από ένα σηµείο και έπειτα, η υπερβολική αναλυτικότητα κατά τη διεξαγωγή µιας ανάλυσης κινδύνου, την καθιστά αντιπαραγωγική. Παρόλα αυτά, ακόµη και τα κατά προσέγγιση στοιχεία µπορούν να είναι εξαιρετικά χρήσιµα και να οδηγήσουν σε εξίσου ασφαλή συµπεράσµατα. Παραδείγµατος χάριν, οι εκτιµώµενες ετήσιες δαπάνες λόγω παραβιάσεων ασφάλειας µπορούν να αποτελέσουν ισχυρή ένδειξη για τον ετήσιο προϋπολογισµό για µέτρα ασφάλειας. Η ανάλυση κινδύνου είναι ο ουσιαστικός πρόδροµος για µια ορθή, και όχι σπασµωδική, διαχείριση κινδύνου. Όµως, µε τον τρόπο που διεξάγεται συνήθως η ανάλυση κινδύνου δεν ευνοεί τον προσδιορισµό των τύπων ψηφιακών αποδεικτικών στοιχείων τα οποία µπορούν και θα έπρεπε να συλλέγονται. Έτσι, καλό θα ήταν να αναθεωρηθούν όλα τα σενάρια απειλών λαµβάνοντας υπόψη την προοπτική συλλογής αποδεικτικών στοιχείων και τη συντήρησή τους σε επαρκή βαθµό[10]. Για κάθε σενάριο θα πρέπει να καθορίζονται τα πιθανά γεγονότα που ενδέχεται να συµβούν και να αναλύονται οι πιθανές επιπτώσεις καθώς και οι δυνατοί τρόποι αντιµετώπισής τους. Για παράδειγµα, ένα σύνηθες σενάριο είναι η ανάκτηση από καταστροφή των ηλεκτρονικών υπολογιστών, όπου υπάρχει απώλεια κύριας υπηρεσίας που βασίζεται σε ηλεκτρονικούς υπολογιστές (για διάφορους λόγους όπως αστοχία υλικού ή λογισµικού, πυρκαγιά στο κτίριο ή επίθεση άρνησης υπηρεσιών). Η προσοµοίωση ενός τέτοιου σεναρίου µπορεί να οδηγήσει στην εξαγωγή διαφόρων συµπερασµάτων, όπως τα χρονικά σηµεία από τα οποία και έπειτα ο οργανισµός δεν µπορεί να ανταποκριθεί σε αιτήµατα παροχής υπηρεσιών ή έχει κρίσιµες οικονοµικές απώλειες, κατά πόσο οι υπάρχουσες διαδικασίες αντιµετώπισης περιστατικών είναι 22
σε θέση να επαναφέρουν τα συστήµατα σε κανονική κατάσταση, καθώς και τον υπολογισµό των απωλειών µέχρι το σηµείο της απόλυτης επαναφοράς. Τα ήδη υπάρχοντα σενάρια κινδύνου, καθώς επίσης και επιπρόσθετα, πρέπει να εξεταστούν από την προοπτική συλλογής αποδεικτικών στοιχείων. Αυτό σηµαίνει ότι θα πρέπει να υπάρχει η δυνατότητα συσχετισµού των δραστηριοτήτων, που έχουν ιδιαίτερο ενδιαφέρον, µε τους υπολογιστικούς πόρους οι οποίοι τις υποστηρίζουν, καθώς επίσης και ο προσδιορισµός των αρχείων που παράγονται κατά την εκτέλεση αυτών των δραστηριοτήτων. Για κάθε πιθανό σενάριο κινδύνου θα πρέπει να δηµιουργείται η ανάλογη τεκµηρίωση η οποία θα περιέχει τους υπολογιστικούς πόρους και τα συσχετιζόµενα αρχεία που παράγονται και ενδέχεται να αποτελέσουν σηµείο ενδιαφέροντος σε περίπτωσης διερεύνησης. Παραδείγµατος χάριν, µια από τις σηµαντικότερες απειλές για τους περισσότερους οργανισµούς είναι η απάτη είτε από υπαλλήλους είτε από τρίτους. Για να είναι σε θέση να αποδείξει τη σειρά των γεγονότων ένας οργανισµός, θα πρέπει να έχει στη διάθεση του τουλάχιστον τα αρχεία των συναλλαγών που παράγονται, ακόµη και αν ο υπολογιστής δεν είναι ρητά και αποκλειστικά το µέσο τέλεσης της παραβατικής συµπεριφοράς. Αν οι συναλλαγές εκτελούνται µέσω υπολογιστή, τα αρχεία ιστορικού προσβάσεων, ιαδικτυακής δραστηριότητας και ανίχνευσης εισβολών θα πρέπει να είναι διαθέσιµα. Σε περίπτωση υπαλληλικής διαµάχης, θα πρέπει να είναι διαθέσιµα τα µηνύµατα ηλεκτρονικού ταχυδροµείου, τα αρχεία ιστορικού γεγονότων, τηλεφωνικής κίνησης και ελέγχου προσβάσεων. Παρόλα αυτά, επειδή κάθε επιχειρηµατικό περιβάλλον έχει τις ιδιαιτερότητές του, καµία απαρίθµηση σεναρίων δεν µπορεί να θεωρηθεί πλήρης αν δεν διενεργηθεί ανάλυση κινδύνου για κάθε οργανισµό ξεχωριστά. Μια εξαντλητική απαρίθµηση σεναρίων κινδύνου για διάφορα επιχειρηµατικά περιβάλλοντα είναι εκτός του εύρους του παρόντος κειµένου. Εντούτοις, είναι δυνατός ο προσδιορισµός ορισµένων βασικών λειτουργιών συλλογής αποδεικτικών στοιχείων, οι οποίες συνήθως ισχύουν για την πλειοψηφία των περιπτώσεων (βλ. Πίνακας 2-2). Πίνακας 2-2. Πιθανές πηγές ψηφιακών αποδεικτικών στοιχείων Αρχείο Επιχειρηµατικών Συναλλαγών Κίνηση Ηλεκτρονικού Ταχυδροµείου Περιλαµβάνονται όλες οι αγορές, οι πωλήσεις και άλλες συµβατικές συµφωνίες του οργανισµού. Τα µηνύµατα ηλεκτρονικού ταχυδροµείου παρέχουν ενδεχοµένως σηµαντικά στοιχεία επίσηµων και άτυπων επαφών και επικοινωνιών. 23
Πίνακας 2-2. Πιθανές πηγές ψηφιακών αποδεικτικών στοιχείων Ηλεκτρονικοί υπολογιστές Σταθµοί εργασίας Σε περίπτωση κάποιου συµβάντος, θα πρέπει να ληφθεί ένα πιστό δικανικό αντίγραφο (bit to bit) του σκληρού δίσκου και της µνήµης των ύποπτων συστηµάτων ώστε να είναι διαθέσιµα για περαιτέρω δικανική ανάλυση και επανάκτηση δεδοµένων. Αποθηκευτικά Μέσα Οι περισσότεροι χρήστες υπολογιστών αρχειοθετούν το σύνολο ή µέρος των δραστηριοτήτων τους σε εξωτερικά αποθηκευτικά µέσα. Τέτοια µέσα είναι τα CD- ROM, DVD, δισκέτες, ταινίες, εξωτερικοί σκληροί δίσκοι, µνήµες USB, έξυπνες κάρτες. Όλα τα αποθηκευτικά µέσα που χρησιµοποιούνται εντός του οργανισµού θα πρέπει να είναι καταγεγραµµένα ώστε να είναι δυνατός ο εντοπισµός τους και η εξέτασή τους στην έρευνα. Αρχεία ιστορικού προσβάσεων (Access control logs) Τα περισσότερα συστήµατα απαιτούν τη χρήση κάποιων στοιχείων πρόσβασης για να επιτρέψουν την πρόσβαση στους χρήστες (π.χ. όνοµα και κωδικός χρήστη). Συνήθως, παρέχεται η δυνατότητα καταγραφής διαφόρων γεγονότων κατά τη χρήση αυτών των στοιχείων, όπως το χρόνο επιτυχηµένης ή µη προσπάθειας εισαγωγής χρήστη, αλλαγής κωδικού ή δικαιωµάτων χρήστη κτλ. Τα αρχεία ιστορικού, εάν συντηρηθούν σωστά, παρέχουν µια ισχυρή πηγή αποδεικτικών στοιχείων για τον εντοπισµό των εκτελεσµένων ενεργειών. 24
Πίνακας 2-2. Πιθανές πηγές ψηφιακών αποδεικτικών στοιχείων Αρχεία ρυθµίσεων, συµβάντων και σφαλµάτων Αρχεία ιστορικού δραστηριότητας κατά την πλοήγηση στο ιαδίκτυο Αρχεία ιστορικού αντιικών προγραµµάτων Όλοι οι υπολογιστές περιέχουν αρχεία τα οποία βοηθούν στον καθορισµό της συµπεριφοράς του λειτουργικού συστήµατος βάσει ποικίλων ρυθµίσεων. Συγκεκριµένα, στην οικογένεια λειτουργικών συστηµάτων Windows, η σηµαντικότερη πηγή πληροφοριών σχετικά µε ρυθµίσεις είναι το αρχείο Μητρώου (registry file), καθώς επίσης και διάφοροι µηχανισµοί καταγραφής γεγονότων. Επίσης, πολλές εφαρµογές παρέχουν επιλογές καταγραφής γεγονότων που σχετίζονται µεµονωµένα µε την εφαρµογή. Οι ηλεκτρονικοί υπολογιστές διατηρούν αρχείο µε τις πρόσφατες προσβάσεις στο ιαδίκτυο υπό µορφή ιστορικού στα προγράµµατα πλοήγησης (web browser) ή σε ειδικό φάκελο προσωρινών αρχείων ιαδικτύου. Πολλά εταιρικά δίκτυα διατηρούν κεντρικά ιστορικό µε τη ιαδικτυακή δραστηριότητα των χρηστών για λόγους ελέγχου της ποιότητας των υπηρεσιών και τον εντοπισµό προβληµάτων. Τα αρχεία αυτά περιέχουν πληροφορίες που προέρχονται από τα κεντρικά εταιρικά προγράµµατα αντιικής προστασίας. Περιέχουν πληροφορίες σχετικά µε τον εντοπισµό κακόβουλου λογισµικού, οι οποίες ενδέχεται να χρησιµεύσουν σε περιπτώσεις όπου κάποια αθέµιτη συµπεριφορά αποδίδεται στην ύπαρξη ξένου κακόβουλου λογισµικού (π.χ. Trojan defence). 25
Πίνακας 2-2. Πιθανές πηγές ψηφιακών αποδεικτικών στοιχείων Αρχεία ιστορικού συστηµάτων ανίχνευσης εισβολών Αντίγραφα ασφάλειας Αρχεία ιστορικού τηλεφωνικών κέντρων Σε µεγαλύτερα εταιρικά υπολογιστικά συστήµατα συνήθως υπάρχει εγκατεστηµένο σύστηµα ανίχνευσης εισβολών. Τα γεγονότα που καταγράφονται από αυτά τα συστήµατα αποτελούν σηµαντική πηγή εντοπισµού προσπαθειών επιθέσεων, επιτυχών ή µη. Για όλα τα εταιρικά υπολογιστικά συστήµατα θα πρέπει να έχουν προβλεφθεί η ανάλογες διαδικασίες λήψης αντιγράφων ασφάλειας, ώστε να αντιµετωπίζονται αποτελεσµατικά περιπτώσεις απώλειας δεδοµένων. Ανάλογα µε το σχέδιο λήψης αντιγράφων ασφάλειας κάθε οργανισµού, µπορεί να λαµβάνονται πλήρη, µερικά ή επαυξητικά αντίγραφα ασφάλειας. Τα εταιρικά τηλεφωνικά κέντρα συνήθως έχουν εγκατεστηµένα εκτενή χαρακτηριστικά για την καταγραφή της δραστηριότητας. Τα στοιχεία κίνησης των τηλεφωνικών συνδιαλέξεων µπορούν να αποτελέσουν σηµαντικά αποδεικτικά στοιχεία Αρχεία ιστορικού φυσικής πρόσβασης Πολλοί οργανισµοί έχουν υλοποιήσει µηχανισµούς ελέγχου φυσικής πρόσβασης στις εγκαταστάσεις τους βάσει µαγνητικών καρτών ή άλλων παρόµοιων τεκµηρίων εισόδου. Τα συστήµατα αυτά παρέχουν τη δυνατότητα καταγραφής της κίνησης προς και από τις εγκαταστάσεις του οργανισµού και µπορούν να φανούν πολύ χρήσιµα αποδεικτικά στοιχεία 26
Για κάθε πιθανή πηγή ψηφιακών αποδεικτικών στοιχείων, η αξιολόγηση των διαδικασιών ενός οργανισµού θα πρέπει να καλύπτει τα ακόλουθα ερωτήµατα: Πώς θα συλλεχθούν τα στοιχεία σε πρακτικό επίπεδο; Πώς θα συντηρηθούν τα στοιχεία, και πώς θα καταδειχθεί η συνοχή τους; Οι διαδικασίες είναι σύµφωνες µε το υφιστάµενο νοµικό και κανονιστικό πλαίσιο; Το συλλεγόµενο υλικό θα είναι αποδεκτό στο δικαστήριο; Στις περιπτώσεις που τα παραπάνω ερωτήµατα δεν απαντώνται επαρκώς, θα πρέπει να ληφθούν διορθωτικές ενέργειες ώστε να καλυφθούν τα κενά στις υφιστάµενες διαδικασίες. 2.6.1 Κατηγορίες ψηφιακών αποδεικτικών στοιχείων Τα ψηφιακά αποδεικτικά στοιχεία µπορούν να αποτελούνται, µεταξύ άλλων, από: Περιεχόµενο ενός αρχείου: οι λέξεις, οι αριθµοί, οι εικόνες και τα δεδοµένα ήχου και εικόνας τα οποία µπορεί να βρίσκονται σε ένα αρχείο µιας εφαρµογής, µιας βάσης δεδοµένων, ενός µηνύµατος ηλεκτρονικού ταχυδροµείου. Μέτα δεδοµένα: ορισµένοι τύποι αρχείων περιέχουν δεδοµένα που σχετίζονται και περιέχουν πληροφορίες για τα περιεχόµενα του αρχείου. Τα µέτα δεδοµένα, τα οποία δεν είναι άµεσα ορατά και αναγνώσιµα στο χρήστη, παρέχουν πληροφορίες σχετικά µε το αρχείο όπως ποιος το δηµιούργησε, πόσες φορές και για πόσο χρόνο έχει επεξεργασθεί και πότε τυπώθηκε για τελευταία φορά.. Για παράδειγµα, τα έγγραφα που δηµιουργούνται από τα πακέτο εφαρµογών γραφείου περιέχουν εκτενή µέτα δεδοµένα. Στοιχεία καταλόγου: πληροφορίες αρχείου που περιέχουν λεπτοµέρειες για το όνοµά του, διάφορες χρονοσηµάνσεις (δηµιουργία, τροποποίηση, κτλ), το µέγεθός του και βρίσκονται αποθηκευµένες στο σύστηµα αρχείων του λειτουργικού συστήµατος Στοιχεία ρυθµίσεων: δεδοµένα τα οποία περιέχονται στο λειτουργικό σύστηµα και στις εφαρµογές και χρησιµεύουν για τον καθορισµό της συµπεριφοράς τους. Παραδείγµατος χάριν, τέτοιου τύπου δεδοµένα είναι οι ρυθµίσεις που περιέρχονται στο «αρχείο µητρώου» (registry) στα λειτουργικά συστήµατα της οικογενείας Microsoft Windows. Στοιχεία καταγραφών ιστορικού (log files): αρχεία που δηµιουργούνται από τις εφαρµογές και τα λειτουργικά συστήµατα και ο σκοπός τους είναι η καταγραφή των γεγονότων που συµβαίνουν στην εφαρµογή ή στο λειτουργικό σύστηµα (π.χ. καταγραφή σφαλµάτων, σύνδεση χρηστών κτλ). Τα συγκεκριµένα αρχεία µπορούν να χρησιµεύσουν στην προσπάθεια επαναδηµιουργίας της ιστορικής συνέχειας των γεγονότων, συνδυάζοντας διάφορα αρχεία καταγραφών ταυτόχρονα, π.χ. αρχείου συνόδου χρηστών, αρχείο ιστορικού και αρχείο πρόσφατης προσπέλασης Αρχεία αντιγράφων ασφάλειας: µπορούν να περιέχουν στοιχεία όλων των ανωτέρω κατηγοριών 27
ικανικά ανακτηµένα στοιχεία: υλικό που προέρχεται από αποθηκευτικά µέσα, το οποίο δε θα ήταν προσβάσιµο υπό κανονικές συνθήκες. Το υλικό αυτό συνήθως ανακτάται από διαγραµµένα αρχεία, αρχεία πρόσφατων µνηµών (cache) και κρυφούς χώρους, όπως ο ελεύθερος χώρος που αποµένει σε έναν τοµέα του σκληρού δίσκου κατά την αποθήκευση ενός αρχείου (file slack) ή στην εικονική µνήµη του συστήµατος (swap) εδοµένα υποκλοπών επικοινωνίας: στοιχεία που συλλέγονται µέσω µηχανισµών παρακολούθησης τηλεφωνικών συνδέσεων ή δικτύων υπολογιστών. Τα συγκεκριµένα στοιχεία µπορούν να διαιρεθούν σε δύο κατηγορίες: o εδοµένα κίνησης, που περιγράφουν γενικές πληροφορίες της επικοινωνίας, όπως τα στοιχεία των επικοινωνούντων µερών και τη διάρκεια της επικοινωνίας. o εδοµένα επικοινωνίας, το πραγµατικό περιεχόµενο της επικοινωνίας 28
2.7 Χαρακτηριστικά των Αποδεικτικών Στοιχείων Σύµφωνα µε το άρθρο 335 Κώδικα Πολιτικής ικονοµίας [11] «Αντικείµενο της απόδειξης είναι µόνον τα πραγµατικά εκείνα γεγονότα που έχουν ουσιώδη επιρροή στην έκβαση της δίκης». Στο άρθρο 339 Κώδικα Πολιτικής ικονοµίας[12], από την άλλη πλευρά, απαριθµούνται τα αποδεικτικά µέσα τα οποία είναι Οµολογία Αυτοψία Πραγµατογνωµοσύνη Έγγραφα Εξέταση Των ιαδίκων Μάρτυρες ικαστικά Τεκµήρια Για την αποδεικτική δύναµη των αποδεικτικών µέσων ισχύει η γενική ρύθµιση της διάταξης του άρθρου 340 Κώδικα Πολιτικής ικονοµίας[13], κατά την οποία τα αποδεικτικά µέσα, κατά κανόνα, εκτιµώνται ελεύθερα (σύστηµα της ελεύθερης εκτίµησης). Ανεξάρτητα από τον τύπο του αποδεικτικού µέσου που προσκοµίζεται στο δικαστήριο, δοκιµάζεται η αποδεικτική ισχύς τους και κρίνεται η βαρύτητα που µπορεί να έχουν κατά την εξαγωγή της απόφασης. 2.7.1 Αποδεικτική ισχύς Πριν την αναθεώρηση του Συντάγµατος το 2001 [14] δεν υπήρχε καµία ρητή συνταγµατική ρύθµιση που να αφορά στη χρήση παράνοµων αποδεικτικών µέσων. Κατά συνέπεια, κρίθηκε απαραίτητο στο αναθεωρηµένο Σύνταγµα να περιληφθούν διατάξεις που να συγκεκριµενοποιούν µε σαφές περιεχόµενο τις επιπτώσεις από την χρήση παρανόµων αποδεικτικών µέσων. Στο αναθεωρηµένο Σύνταγµα περιλαµβάνονται διατάξεις οι οποίες υπερασπίζονται του ατοµικού δικαιώµατος της ανθρώπινης αξίας το οποίο έχει πρωταρχική σηµασία για τον νοµοθέτη και η καταπάτηση αυτών των δικαιωµάτων κατά τη συλλογή αποδεικτικών στοιχείων τα καθιστά µη αποδεκτά. Συγκεκριµένα, στο άρθρο 19 του Συντάγµατος αναφέρεται ότι: 1. Tο απόρρητο των επιστολών και της ελεύθερης ανταπόκρισης ή επικοινωνίας µε οποιονδήποτε άλλο τρόπο είναι απόλυτα απαραβίαστο. Νόµος ορίζει τις εγγυήσεις υπό τις οποίες η δικαστική αρχή δεν δεσµεύεται από το απόρρητο για λόγους εθνικής ασφάλειας ή για διακρίβωση ιδιαίτερα σοβαρών εγκληµάτων. 2. Νόµος ορίζει τα σχετικά µε τη συγκρότηση, τη λειτουργία και τις αρµοδιότητες ανεξάρτητης αρχής που διασφαλίζει το απόρρητο της παραγράφου 1. 29
3. Απαγορεύεται η χρήση αποδεικτικών µέσων που έχουν αποκτηθεί κατά παράβαση του άρθρου αυτού και των άρθρων 9 και 9Α Το άρθρο 9Α, που αναφέρεται στην παράγραφο 3 του άρθρου 19 του Συντάγµατος, έχει ιδιαίτερη σηµασία καθώς µε αυτό θεµελιώνεται το δικαίωµα της προστασίας των προσωπικών δεδοµένων του ατόµου από την αυτοµατοποιηµένη επεξεργασία και ορίζεται η συγκρότηση της ανεξάρτητης Αρχής Προστασίας εδοµένων Προσωπικού Χαρακτήρα. Τα ζητήµατα που σχετίζονται µε την εν λόγω αρχή και επηρεάζουν τον προγραµµατισµό της δικανικής ετοιµότητας των πληροφοριακών συστηµάτων στο περιβάλλον ενός οργανισµού αναλύονται εκτενώς στο κεφάλαιο 4 του παρόντος κειµένου, όπου καλύπτονται τα νοµικά ζητήµατα. 2.7.2 Βαρύτητα Έχοντας εξασφαλισθεί η αποδεικτική ισχύς τους στη δικαστική διαδικασία, τα αποδεικτικά στοιχεία κρίνονται και εξετάζονται ως προς τη βαρύτητά τους. Παρόλο που η βαρύτητα δεν περιγράφεται στη νοµική επιστήµη ως έννοια, µπορεί να θεωρηθεί ότι είναι ο βαθµός στον οποίο η χρήση ενός αποδεικτικού στοιχείου επηρεάζει την εξαγωγή της απόφασης από το δικαστήριο. Για να εξασφαλισθεί η µέγιστη βαρύτητα των προσκοµιζόµενων αποδεικτικών στοιχείων, θα πρέπει αυτά να πληρούν ορισµένα χαρακτηριστικά τα οποία αυξάνουν την αξιοπιστία τους. Έτσι, τα αποδεικτικά στοιχεία θα πρέπει να είναι: Αυθεντικά: να υπάρχει σαφής και αποδεδειγµένη συσχέτιση µε τα εξεταζόµενα περιστατικά και πρόσωπα Ακριβή: η µέθοδος που χρησιµοποιήθηκε για τη συλλογή, διατήρηση και παρουσίαση των στοιχείων δε θα πρέπει να επιφέρει αµφιβολίες σχετικά µε την ακεραιότητά τους. Η µέθοδος αυτή θα πρέπει να είναι διαφανής και να οδηγεί στα ίδια αποτελέσµατα όταν επανεκτελεστεί από κάποιο ανεξάρτητο τρίτο µέρος. Πλήρη: η πληροφορία που φέρουν να µπορεί, ει δυνατόν, να στηριχθεί αυτόνοµα και ανεξάρτητα δίχως να απαιτείται περαιτέρω υποστήριξη και από άλλα στοιχεία. Ως ενδεικτικό παράδειγµα των χαρακτηριστικών που επηρεάζουν τη βαρύτητα ενός αποδεικτικού στοιχείου µπορούν να αναφερθούν οι ψηφιακές φωτογραφίες. Αποδεχόµενοι τη χρήση τους ως τεκµήριο, µε βάσει τους περιορισµούς της προηγούµενης ενότητας, µια ψηφιακή φωτογραφία που έχει ληφθεί µε µεγαλύτερη ανάλυση έχει µεγαλύτερη βαρύτητα από την ίδια σε µικρότερη ανάλυση, καθώς φέρει περισσότερη λεπτοµέρεια στην απεικόνιση της και διευκολύνει στην υποστήριξη της αυθεντικότητας, της ακρίβειας και της πληρότητάς της. 2.7.3 Συνοχή των αποδεικτικών στοιχείων Η συνοχή των αποδεικτικών στοιχείων αναφέρεται στη δυνατότητα αναφοράς όλων των δραστηριοτήτων οι οποίες έλαβαν χώρα επί των αποδεικτικών στοιχείων, από τη στιγµή που συλλέχθηκαν µέχρι την προσκόµισή τους στο δικαστήριο. Για τα παραδοσιακά αποδεικτικά 30