Wywiad z Sebastianem Małychą, prezesem Mediarecovery, największej polskiej firmy zajmującej się informatyką śledczą.

– Jakie były początki informatyki śledczej w Polsce? Wydaje się, że na samym początku była ona ściśle powiązana ze służbami, policją, prokuraturą?

Rzeczywiście tak było. Informatyka śledcza była związana wyłącznie z szeroko rozumianym wymiarem sprawiedliwości. Dziesięć, dwanaście lat temu zaczynał się proces przechodzenia naszej rzeczywistości w wymiar cyfrowy. Te zmieniające się realia wymusiły niejako na służbach zainteresowanie tematem. Zresztą nie tylko w Polsce ale na całym świecie.

To właśnie służby, jako pierwsze zaczęły szukać możliwości zebrania, czy też poszerzenia materiału dowodowego i zebrania poszlak w komputerach. Jednak w tamtym okresie nie miało to jeszcze wymiaru masowego.

Specjaliści informatyki śledczej Mediarecovery, choć nie tylko oni, włożyli sporo pracy w to żeby upowszechnić świadomość organów ścigania i wymiaru sprawiedliwości w tym zakresie. Dla przykładu w samym tylko 2007 roku przeszkoliliśmy prawie 1000 osób w obszarze możliwości analitycznych i dowodowych informatyki śledczej.

– Czy można powiedzieć, że był jakiś punkt przełomu po którym informatyka śledcza zaistniała w bezpieczeństwie IT? Czy była to raczej naturalna ewolucja? Przypomnę, że nasz Magazyn w 2010 roku dodał w nazwie „bezpieczeństwo IT” obserwując to co działo się w naszym środowisku. Jesteśmy prekursorami?

Nie wiem czy prekursorami ale z pewnością jednymi z pierwszych. A poważniej. Sądzę, że był to naturalny proces w Polsce i na Świecie. Działy bezpieczeństwa IT zaczęły się interesować informatyką śledczą. Ilość incydentów zaczęła gwałtownie rosnąć. W związku z tym, że każde naruszenie prawa powinno się zgłaszać odpowiednim organom specjaliści bezpieczeństwa IT stanęli przed wyborem: albo każdy incydent zgłaszać bezpośrednio na policję albo najpierw zabezpieczyć dowody ze wsparciem specjalistów.

Znakomita większość działów bezpieczeństwa IT wybrała drugą możliwość. Jest i było to zauważalne szczególnie w dużych firmach, korporacjach, gdzie liczba incydentów, fraudów, niezgodności w cyfrowym wymiarze zaczęła porażać ilością. Czym więcej tego typu zdarzeń, tym większa potrzeba działań po incydencie. Do tej pory wszyscy starali się zabezpieczać i tworzyć takie środowisko IT żeby incydentów nie było. Dość szybko uświadomiono sobie, że to jest po prostu nie możliwe. Incydenty stawały się coraz bardziej złożone. W związku z tym każdy dział bezpieczeństwa powinien posiadać możliwości analizy poincydentalnej.

Możliwość analizy danych, możliwość sprawdzenia co konkretnie się wydarzyło w sensie dowodowym. Często zdarza się, że po incydencie, po jego wyjaśnieniu dana firma decyduje się na drogę sądową. Mając zabezpieczone przez siebie dowody wymiernie skraca czas postępowania przygotowawczego i zwiększa szanse korzystnego dla siebie wyroku.

– Informatyka śledcza znalazła swoje miejsce w bezpieczeństwie IT już wiele lat temu. Czy można w jakiś sposób określić jej obecną rolę? Sporo się pewnie zmieniło przez ten czas.

Informatyka śledcza jest obecnie na stałe zintegrowana z bezpieczeństwem IT. Jeśli popatrzymy na incydent od jego początku, poprzez rozwój po moment, w którym dana organizacja uświadamia sobie, że ma on miejsce, kiedy firma reaguje to w ramach tej reakcji pojawia się informatyka śledcza. I to jest standard już dzisiaj. Mało tego, producenci rozwiązań bezpieczeństwa IT też zauważyli taką potrzebę i starają się jej wyjść naprzeciw. Zaczynają włączać funkcjonalności  informatyki śledczej do swoich systemów.

– Omówiliśmy już przeszłość i teraźniejszość. Pytanie, które się nasuwa, brzmi co będzie w przyszłości? W którą stronę informatyka śledcza będzie się rozwijać, jakie stoją przed nią wyzwania?

Coraz większy rozwój informatyki śledczej w urządzeniach mobilnych oraz tak zwana big data czyli duże ilości danych. Te dwa obszary z pewnością będą najbardziej rozwojowe. To właśnie tam pojawiają się nowe wyzwania i nowe problemy.

W urządzeniach mobilnych jest nadal wiele różnych systemów operacyjnych, sposobów zapisów danych. To powoduje, że nie zawsze można użyć tego samego narzędzia, a co za tym idzie mobile forensics musi niezwykle szybko się rozwijać. Widzę tu jeszcze spory potencjał i będzie to kierunek rozwoju informatyki śledczej związanej z bezpieczeństwem.

Naturalną konsekwencją łatwego dostępu do danych przez użytkowników jest rozwój wszelkiego typu i rodzaju „chmur”. A co za tym idzie ogromne, niespotykane do tej pory ilości danych. W związku z tym w praktyce nie jest możliwe wykonanie kopii binarnej wielu, dużych macierzy dyskowych. Dlatego dziś dość szybko rozwijają się narzędzia dające możliwość analizy live forensics. W tym przypadku nie ma potrzeby wykonywania kopii binarnej całości tylko analizuje się w czasie rzeczywistym pracujące urządzenia. Sytuacja jest w takim przypadku dynamiczna ale można przeprowadzić analizę i dopiero wyniki tej analizy zabezpieczyć jako dowód.

Jestem pewien, że z problemem badania dużych ilości danych będziemy spotykać się coraz częściej. W naszym laboratorium mamy już tego typu doświadczenia, narzędzia oraz specjalistów więc zawsze będziemy mogli pomóc służbom lub firmom.

– Dziękuję za rozmowę.

 

z prezesem Mediarecovery
rozmawiał Zbigniew Engiel