Prelevarea probelor

O dată ajunşi la locul ? care se află sistemele informatice ce fac obiectul percheziţiei, investigatorii se vor asigura de accesul la acestea. Recomandarea Consiliului Europei (95) 13 menţionează ca necesară includerea ? legislaţiile naţionale penale a obligaţiei de a permite accesul la sistemele informatice, at? din partea celor care răspund de, c? şi a oricăror persoane ce au cunoştinţă de modul de funcţionare a acestora. Pe l?gă accesul fizic, aceste persoane au datoria de a furniza şi informaţii referitoare la securitatea sistemului, informaţii care să permită investigatorilor accesul la datele stocate ? sistemele informatice respective.

?ainte de a trece la examinarea sistemelor informatice, nu trebuie neglijate procedurile criminalistice tradiţionale de analiză a spaţiului percheziţionat, cum ar fi prelevarea probelor fizice (amprente, alte urme materiale). De asemenea poate avea relevanţă imaginea aflată pe ecranul monitorului ? momentul pătrunderii organelor de cercetare penală. Aceasta poate fi păstrată prin fotografiere, filmare, etc.

O primă decizie ce trebuie luată priveşte analiza sistemului informatic la faţa locului, sau ridicarea acestuia şi analiza ? laborator.

? luarea acestei decizii, trebuie avute ? vedere următoarele aspecte:

1. calitatea superioară a analizei efectuate ? condiţii de laborator;
2. măsura ? care ridicarea sistemului informatic afectează activitatea suspectului.

? acest sens, trebuie reţinute recomandările Camerei Internaţionale de Comerţ ţce menţionează regula evitării ridicării sistemelor informatice ale ?treprinderilor, dacă aceasta ar duce la afectarea desfăşurării activităţilor lor normale.

Următoarele criterii sunt utile ? aprecierea oportunităţii ridicării sistemelor informatice:

1. criteriul volumului probelor.
   Particularitatea sistemelor informatice de a permite stocarea unui volum foarte mare de informaţie ?tr-un spaţiu de dimensiuni fizice reduse face ca investigaţia să necesite un volum mare de timp pentru obţinerea probelor relevante. Astfel de cercetări pe o perioadă ăde timp mare pot fi conduse mult mai eficient ? laborator.
2. criteriul dificultăţilor de natură tehnică.
   1. problema evitării distrugerii datelor ? decursul investigaţiei. Analiza sistemelor informatice de către investigatori ce nu au cunoştinţe suficiente asupra echipamentului sau programelor utilizate poate duce la distrugerea din greşeală a datelor.
   2. problema reconstituirii sistemului ? laborator. Datorită ăvarietăţii foarte mari a componentelor tehnice ale calculatoarelor, pentru ca sistemul să poată funcţiona corect ? laborator, este necesară ridicarea tuturor echipamentelor prezente la locul percheziţiei. ? cazul ridicării parţiale a componentelor sistemului, este posibilă prezenţa unor incompatibilităţi fie ?tre echipamentele sistemului informatic ridicat şi cele din laborator (de exemplu incompatibilitatea calculatorului cu echipamentele periferice - imprimante, etc.), fie ?tre programele de pe sistemul ridicat şi echipamentele din laborator.

O dată decisă ridicarea sistemului informatic aflat la locul percheziţiei, trebuie luate unele măsuri care să permită reconstituirea exactă a acestuia ? laborator. ? primul r?d, trebuie consemnat modul de aranjare ? spaţiu a echipamentelor sistemului informatic ridicat. Aceasta se poate face fie prin fotografierea sistemului din toate unghiurile, fie prin filmare video. In procesul de fotografiere sau filmare, este necesar să se insiste asupra cablajelor ce conectează diferitele componente ale echipamentului. Consemnarea, ? variantă foto sau video, are relevanţă ăşi pentru a arăta starea ? care se găsea echipamentul ? momentul ridicării, prevenind astfel pl?gerile legate de o eventuală deteriorare a acestuia ? decursul anchetei.

? procesul de ridicare a componentelor sistemului trebuie să fie avută ? vedere necesitatea păstrării integrităţii şi identităţii datelor. Orice avariere a suportului pe care se află datele duce ? mod inevitabil la distrugerea acestora. Organele de cercetare penală ătrebuie instruite ? mod special pentru a proteja probele de natură electronică.

Procedura ridicării sistemelor informatice este următoarea:

etapa 1: ?chiderea sistemului. Dacă sistemul a fost găsit ?chis ? momentul pătrunderii investigatorilor, nu trebuie sub nici un motiv pornit. Se va proceda ? continuare trec?d la celelalte etape. Dacă sistemul a fost găsit deschis, el trebuie ?chis pentru a se putea proceda la ridicarea lui. Pentru ?chiderea sistemului se pot folosi următoarele procedee:

• deconectarea de la alimentarea cu energie electrică;
• ?chiderea conform procedurii normale.

Prima alternativă este de preferat ? cazul ? care investigatorul nu are cunoştinţe de informatică. Unele calculatoare dispun de surse de alimentare neinteruptibile (UPS). ? acest caz, pe l?gă deconectarea de la sistemul de alimentare cu energie electrică, trebuie oprit şi acest sistem. Deconectarea nu va produce, ? cele mai multe cazuri, pierderea de date, dar poate evita ştergerea unor informaţii relevante, cum ar fi fişierele temporare, care se pot şterge ? cadrul procesului normal de ?chidere a calculatorului.

Cea de-a doua alternativă este de preferat atunci c?d calculatorul este conectat ? reţea, sau atunci c?d investigatorul este asistat de o persoană ce are cunoştinţe asupra modului de funcţionare a sistemului respectiv, precum şi asupra procedurilor ce sunt folosite pentru ?chiderea lui.

etapa a 2-a: etichetarea componentelor. ? cazul ? care se impune dezasamblarea fiecare componentă a sistemului trebuie etichetată ?ainte de modificarea configuraţiei ? vederea ridicării probelor. ? cazul cablurilor, se etichetează at? cablul, c? şi suporturile de unde a fost debranşat. ? cazul existenţei unor suporturi care nu au conectate cabluri, este recomandabil ca să fie etichetate "neocupat". Se poate realiza şi o schiţă a componentelor, cu precizarea simbolurilor folosite pentru etichetare.

etapa a 3-a: protejarea la modificare. Toate suporturile magnetice de stocare a datelor trebuie protejate ?potriva modificării conţinutului lor. Unele tipuri de hard-discuri au contacte speciale care realizează protejarea la scriere. ? cazul dischetelor, protejarea se va face prin mutarea martorului de permitere a modificărilor ? poziţia "?chis".

etapa a 4-a: ridicarea propriu-zisă. Ridicarea probelor trebuie făcută cu multă ăgrijă, evit?du-se orice avariere a componentelor. Este recomandabilă ă?pachetarea componentelor ? ambalajul original, dacă ăacesta poate fi găsit, sau ? ambalaj special ce asigură protecţia electrostatică ăa acestora. De asemenea, toate suporturile magnetice de stocare a datelor, vor fi ambalate şi sigilate ? aşa fel ?c? accesul la ele nu este permis, p?ă la desfacerea in laborator.