打擊新興犯罪 提升數位鑑識力

為應付各種新興犯罪型態及各項潛在訴訟，提升數位鑑識能量已成為企業一門課題。ISO／IEC 27037是ISO國際標準組織針對數位證據識別、蒐集、擷取和保存訂定之參考指南，提供資訊安全事件調查過程中，數位鑑識作業依循標準與指南，所蒐集證據可做為未來法庭之依循。

　為建置現場數位證據封存及保全程序，達到有效因應不同類型事件發生時舉證所需，降低訴訟風險並符合有效之證據管理，過程中可參照ISO／IEC 27037建議的數位鑑識9項關鍵原則：

　◆證據鏈監管原則：以維持證據監管鏈紀錄之用途，在於能夠於任何給定時間點，識別數位證據存取與移動之狀態，證據監管鏈紀錄應包含：

　1.證據識別編號。

　2.存取證據之人員、時間與發生地點。

　3.從數位證據保存所在地點取出與返還之檢核人員和時間簽名。

　4.證據取出原因和相關授權人員簽名。

　5.數位證據發生無法避免之改變時，其負責人員的姓名與改變理由及依據。

　◆事件現場處理注意事項：包含一般性注意事項、人員注意事項及數位證據蒐集注意事項，如於調查執行過程時可能會涉及相關風險，故保護事件現場所在區域裡之人員及數位證據，也應該被列入考量，另於數位證據蒐集時應考量下述重點：

　1.採用何種類型的證據蒐集與擷取方法？

　2.現場處理時需要哪些數位鑑識設備？

　3.針對揮發性資料，所蒐集之範圍？

　4.當資料或設備被損毀時該如何因應？

　◆角色與職責：包含數位證據第一線應變人員（DEFR）及數位證據鑑識專家（DES）

　1.數位證據第一線應變人員為經授權及培訓並擁有資格於第一時間至現場採取數位證據蒐集和擷取人員。其主要職責為數位證據辨識、蒐集、擷取與保存。

　2.數位證據鑑識專家為具備專業鑑識知識與技能人員，可協助數位證據現場處理人員。

　◆鑑識人員能力：數位證據第一線應變人員（DEFR）與數位證據鑑識專家（DES）應具備相關技術與法律知識，並證明經過適當培訓機制，能適當地處理數位證據。

　◆謹慎處理原則：應避免任何造成數位設備中的數位證據遭到損毀。數位證據第一線應變人員（DEFR）不應直接存取原始數位證據，除非人員具備所要求之能力且使用可靠並驗證過程序進行辦理，另於鑑識作業過程中應避免任何操作破壞數位證據。

　◆文件化記載要求：所有採取之行為應被記錄下來。如此才能確保於證據識別、蒐集、擷取和保存步驟之細節不會遺漏掉。

　◆勤前會議重要性：應提醒小組成員，針對數位證據應避免遭到篡改或破壞，並應告知數位證據第一線應變人員（DEFR）有關調查之細節。

　另於事件調查時有可能無法依預先計畫進行，即可能會發生臨時狀況。於此情況下，小組成員應被指示擬定調查策略與戰術，並依當下情況允許開發出新的策略與戰術以進行應變。

　◆證據蒐集及擷取優先順序：當進行數位證據蒐集或擷取的優先判定時，數位證據第一線應變人員（DEFR）應了解現況，如電源被拔掉而會永遠消失之揮發性數位證據做優先判定；另依其經驗，如何採取最快速的蒐集與擷取方式。

　◆數位證據保存：包含保存、封存及運送作業時，應避免所蒐集數位設備與已擷取數位證據遭到損失、篡改或破壞。於保存程序中最重要之事項為維持數位證據完整性與符合證據監管鏈原則。

（本文作者為企業風險管理部門協理、經理）