Metodologia live forensic polega na zabezpieczaniu dowodów elektronicznych z uruchomionych systemów komputerowych.Metoda ta jest alternatywą do standardowego zabezpieczenia materiału dowodowego, kiedy badane urządzenie jest wyłączone. Może ono także służyć do zabezpieczania danych, które nie są dostępne w przypadku wyłączonego sprzętu.
Praktyka wskazuje na fakt, iż takie podejście jest coraz śmielej stosowane podczas zabezpieczania danych.
W maju 2016 roku, na stronie ForensicFocus.com, największym forum internetowym zrzeszającym specjalistów z zakresu informatyki śledczej, ogłoszono wyniki ankiety, gdzie specjaliści z całego świata wyrazili swoje zdanie na temat wyzwań w ich pracy.
Największym wyzwaniem okazały się dane w chmurze (23%), szyfrowanie (21%) oraz rosnący wolumen danych (11%). Naturalną odpowiedzią jest tutaj metodologia live forensic/triage. Potrzebę oraz znaczenie metodologii live forensic/triage podkreśla coraz większe grono specjalistów informatyki śledczej, e-discovery ale także przedstawicieli służb oraz komercyjnych zespołów bezpieczeństwa.
Według Envision Discovery, w 90% spraw postępowania cywilnego, zabezpieczanie materiału dowodowego całościowo, tj. w formie kopii binarnej jest przesadą. Coraz częściej powoduje ono problemy natury prawnej, wydłuża czas analizy, blokuje aktywa ludzkie oraz zwiększa koszty postępowania.
W swojej opinii firma zaznacza, iż specjaliści powinni być wyposażeni w narzędzia do live forensic/triage, które wykorzystane oraz udokumentowane w odpowiedni sposób, mogą zostać obronione przed sądem.
„(a) In General. To satisfy the requirement of authenticating or identifying an item of evidence, the proponent must produce evidence sufficient to support a finding that the item is what the proponent claims.”
Interpretacje wskazują na fakt, iż materiał zabezpieczany na uruchomionym systemie, np. w formie kopii logicznej (targeted collection) jest akceptowany, jeżeli zostaną przedstawione dowody jego prawidłowego zabezpieczenia oraz jest on tym milej widziany, że pozwala na ograniczenie obciążenia sądów z powodu nadmiernego gromadzenia (zabezpieczania danych).
Wątpliwości odnośnie uzyskiwania dostępu do uruchomionego systemu można rozwiać w sytuacji, kiedy taki dostęp jest np. jedyną możliwością zabezpieczenia wskazanych danych oraz jest ona udokumentowana w sposób wykluczający możliwość nadinterpretacji zachowania specjalisty – np. w formie protokołu zabezpieczenia oraz dokumentacji audiowizualnej.
“In exceptional circumstances, where a person finds it necessary to access original data held on a computer or storage media, that person must be competent to do so and be able to give evidence explaining the relevance and implications of their actions.”
Informacja ta oznacza nic innego, jak to, że zgodnie z ACPO, metodologia live forensic może zostać użyta, jeżeli taki dostęp jest wymagany podczas zabezpieczenia/postępowania oraz, że zostanie ono wykonane przez profesjonalistę, który w razie potrzeby, będzie w stanie wybronić oraz uzasadnić swoje postępowanie.
Reasumując, metodologia live forensic/triage powinna być traktowana jako pełnoprawny sposób zabezpieczania danych. Wymaga ona jednak więcej niż tradycyjne zabezpieczenie o czym należy zawsze pamiętać. Połączenie metod live forensic oraz tradycyjnego modelu zabezpieczania elektronicznego materiału dowodowego dają pełny obraz zabezpieczanego systemu.
