Forensic: Kesiapan untuk Digital Forensic

From OnnoWiki
Jump to navigation Jump to search

Jika kita menonton serial televisi ada beberapa film yang menayangkan materi dengan materi sekitar kerja detektif dan pekerjaan forensik yang menggambarkan keberadaan gadget dan pekerjaan perentasan yang demikian canggih sehingga dapat memperlihatkan detail kecil terbuka ke para detektif / penyidik. Dengan bumbu drama dan ketegangan, forensik digital kelihatannya sangat menarik. Memang film di televisi membuatnya tampak gampang, menarik, dan mudah, proses investigasi di kehidupan nyata membutuhkan upaya dan persiapan yang jauh lebih besar. Tulisan / bagian ini membahas bagian persiapan dari proses investigasi digital, yang disebut kesiapan forensik digital.

Disini akan dirinci definisi dan alasan untuk kesiapan forensik digital, menetapkan komponen utama untuk dimasukkan (people, processes, procedures, and technology), dan membahas perbedaan antara kesiapan forensik digital korporat dan penegakan hukum.

Definisi

Kesiapan forensik digital didefinisikan dengan menjawab pertanyaan "Apa artinya siap?" Sederhananya, kita harus mempersiapkan untuk bisa siap. Tujuan dari investigasi digital adalah untuk merekonstruksi insiden dan menemukan bukti pendukung atau penyangkal. Pada akhirnya, bukti digital yang dikumpulkan dapat digunakan di pengadilan. Dengan demikian, agar siap untuk melakukan forensik artinya siap secara efisien melaksanakan investigasi digital dan kemudian menyajikan bukti kepada audiens yang dituju (seperti auditor atau penasihat hukum dalam pengaturan perusahaan) atau di pengadilan.

Dalam situasi yang ideal, kita akan dapat menyita semua perangkat digital, mengumpulkan dan menganalisis secara menyeluruh semua data yang mungkin, dan dengan cepat menyimpulkannya. Sayangnya, kita memiliki sumber daya dan waktu yang terbatas. Kita harus menyelesaikan penyelidikan dalam jangka waktu yang wajar, dengan berfokus pada artefak yang memberikan nilai paling banyak untuk penyelidikan pada insiden tertentu.

Dua (2) tujuan kesiapan forensik digital: "Memaksimalkan kegunaan data bukti insiden, dan meminimalkan biaya forensik selama respons insiden." Jadi, Kesiapan Digital Forensik adalah kemampuan untuk melakukan penyidikan digital dengan biaya minimal, sekaligus memaksimalkan kegunaan barang bukti.

Mengapa? Dasar Pemikiran untuk Kesiapan Forensik Digital

Secara umum, semua orang setuju bahwa persiapan penting untuk berhasil menyelesaikan tugas apa pun. Berdasarkan definisi kesiapan dan tujuan forensik digital, kita akan membahas dua alasan utama untuk mempertimbangkan kesiapan forensik digital: biaya dan kegunaan dari bukti digital yang telah dikumpulkan.

Cost / Biaya

Aspek penting pertama dari kesiapan forensik digital adalah meminimalkan biaya. Film serial di televisi memberikan kesan memudahkan subjek forensik dengan insiden yang terjadi satu per satu, dan bahwa tim investigasi memiliki semua sumber daya yang dibutuhkan untuk menyelesaikannya dalam jangka waktu tertentu. Kehidupan nyata tidak semurah itu. Para penyerang tidak berdiri di antrian dan menunggu giliran mereka untuk bertindak. Ada kalanya tim forensik harus menyulap antara beberapa investigasi pada saat yang bersamaan. Jumlah dan ruang lingkup penyelidikan forensik dibatasi oleh keterbatasan sumber daya.

Komponen “biaya” apa yang kita diskusikan di sini? Biaya penyelidikan melibatkan waktu yang dihabiskan untuk investigasi (yang dapat diukur dengan jam atau biaya penyidik) dan tingkat upaya yang diperlukan, biaya peralatan, dan biaya lain yang terkait langsung dengan melakukan penyelidikan.

Perkiraan berikut untuk biaya yang terlibat dari penyelidikan forensik setelah bukti telah dikumpulkan. Intrusi selama dua jam menghasilkan, rata-rata, dalam penyelidik forensik menghabiskan 40 jam untuk melakukan analisis dan menulis laporan. Ini dengan asumsi bahwa bukti telah dikumpulkan sebelumnya dan para penyidik dapat terjun langsung ke proses analisis; perkiraan yang akurat harus mencakup biaya terkait pengumpulan dan penanganan bukti digital.

Mari kita lihat beberapa perkiraan lagi. Kita akan menganalisis dan membandingkan dua kasus. Kedua investigasi dilakukan secara ad hoc reaktif yang membutuhkan cukup banyak waktu dan sumber daya:

  • Perkiraan waktu penyelidikan dalam kasus peretas Selandia Baru, yang dicirikan sebagai skenario intrusi khas, adalah 417 jam, yang mengakibatkan biaya penyelidikan sebesar $ 27.800 (hanya satu korban).
  • Kasus peretas Rusia (lelang online otomatis menggunakan kartu kredit curian) yang mengakibatkan penuntut memakan waktu 9 bulan penyidikan. Perkiraan biaya parsial adalah $ 100.000.

Selain itu, kita perlu memikirkan biaya tidak langsung juga, seperti sumber daya yang diambil dari operasi bisnis sehari-hari untuk mendukung penyelidikan, gangguan operasi restorasi karena persyaratan investigasi, dan konseling hukum.

Sebagian besar keputusan dalam perusahaan didasarkan pada analisis biaya-manfaat. Biaya suatu kegiatan tidak boleh melebihi manfaatnya. Pendekatan yang sama berlaku untuk investigasi forensik digital. Jika perusahaan tidak memiliki kewajiban hukum untuk memberi tahu penegak hukum tentang insiden tersebut, perusahaan mungkin memilih untuk tidak melakukannya jika biaya menginformasikan lebih besar daripada kompensasi yang mungkin diterima. Akhirnya, jika insiden itu terlalu mahal untuk diselidiki sepenuhnya, korban atau penggugat mungkin memilih untuk menarik dakwaan atau membatalkan kasus tersebut. Selain itu, kita juga perlu memikirkan biaya tidak langsung, seperti sumber daya yang diambil dari operasi bisnis sehari-hari untuk mendukungnya. investigasi, gangguan operasi restorasi karena persyaratan investigasi, dan konseling hukum.

Kegunaan Bukti Digital

Ingat kembali tujuan dan definisi kesiapan forensik digital. Salah satu bagian dari definisi berkaitan dengan “memaksimalkan kegunaan data bukti insiden.” Apa itu bukti digital “berguna”? Kegunaannya dapat didefinisikan melalui tujuan yang dimaksudkan atau situasi di mana bukti akan digunakan. Definisi bukti digital komprehensif yang menangkap komponen kegunaan, yaitu:

  • Pembuktian yang beratkan di pengadilan hukum,
  • Relevan dan cukup untuk
  • Menentukan akar penyebab,
  • Menghubungkan penyerang ke insiden itu.

Singkatnya, bukti digital berguna ketika dapat ditangkap dan dipelihara, memberikan kontribusi untuk memecahkan insiden atau kejahatan, relevan, cukup, dan memiliki bukti pembuktian dalam pengadilan hukum.

Keberadaan Bukti Digital

Bukti digital sulit dikumpulkan dan mudah dihancurkan. Bukti yang diperlukan mungkin tidak tersedia. Beberapa data digital (misalnya, Lalu lintas jaringan) hanya ada untuk sesaat, kecuali jika ditangkap dan di-preserve. Jika aktivitas atau tindakan tidak dicatat, sulit dan tidak mungkin untuk melacaknya kembali. Tingkat volatilitas juga memainkan peran, dan kita mungkin mengubah beberapa jenis data dalam proses mengekstraksi jenis data lainnya.

Bayangkan adanya hacker canggih atau skenario targeted attack di dalam jaringan, maka tugas para penyidik menjadi sangat sulit, karena penyerang juga dapat menggunakan teknik anti-forensik. Berbagai tool serangan dan cara menghilangkan jejak menyebabkan kesulitan tambahan untuk penyidikan yang efektif dan berhasil.

Kesiapan forensik digital berkaitan dengan mengidentifikasi skenario yang berbeda, mempertimbangkan sumber bukti potensial, dan mempersiapkan sebelumnya untuk meningkatkan kemungkinan menemukan dan melestarikan dengan benar bukti digital yang relevan untuk penyelidikan.

Bobot Bukti pada Bukti Digital

Berapa berat bobot bukti yang dibawa sebuah bukti digital? Ini dapat diekspresikan melalui tingkat kepercayaan, relevansi, kecukupan, dan validitas.

  • Relevansi dan Kecukupan Bukti Digital - Relevansi digambarkan sebagai menunjukkan bahwa bukti yang dikumpulkan mengandung informasi nilai dan membantu membuktikan atau menyangkal sebuah elemen dalam insiden yang sedang diselidiki (lihat ISO / IEC 27037.2012; ISO / IEC, 2012).Kecukupan didefinisikan sebagai memiliki cukup bahan untuk memungkinkan unsur-unsur dalam penyelidikan insiden itu harus diperiksa secara memadai (lihat ISO / IEC 27037.2012; ISO / IEC, 2012).
  • Kelayakan Bukti Digital - Bahkan jika anda berhasil mengumpulkan bukti digital, seberapa dapat dipercaya bukti? Apakah ini akurat? Apakah itu berasal dari sumber yang dapat anda percayai? Apakah dikumpulkan dan ditangani dengan tepat? Bagaimana anda tahu bahwa bukti belum diubah atau dipalsukan? Apakah bukti lengkap, atau apakah ada atribut atau bagian dari bukti digital yang hilang? Apa dampak alat penyidik terhadap bukti digital? Semua pertanyaan ini mengarah pada berbagai aspek kepercayaan, yaitu keaslian (authenticity), integritas (integrity), dan keandalan (reliability). Jika kita tidak dapat mempercayai bukti, maka itu sama dengan tidak memiliki bukti sama sekali. Menentukan dan menerapkan prosedur penanganan bukti, mengidentifikasi sumber-sumber bukti potensial, dan menguji dan memvalidasi tool adalah komponen vital dari kesiapan forensik digital.
  • Keabsahan Bukti Digital - Apakah bukti digital akan diterima di pengadilan hukum tergantung pada sistem hukum dan peraturan yang terkait dengan penyelidikan digital dan bukti digital. Negara yang berbeda memiliki definisi bukti digital yang berbeda, termasuk persyaratan penerimaan di beberapa negara. Jadi, untuk insiden tertentu, yurisdiksi dan dasar hukum harus dipertimbangkan. Namun, kita dapat menerapkan aturan praktis ketika berpikir tentang validitas bukti: bukti yang tidak dikumpulkan dengan cara yang forensik akan mengurangi kualitas bukti dan kredibilitas di pengadilan.

Kesiapan forensik digital memeriksa apa yang diperlukan dan berhubungan dengan pengaturan proses, prosedur dan alat untuk mengumpulkan bukti digital dengan cara yang forensik.