กระบวนการนิติวิทยาศาสตร์ทางดิจิทัล
กระบวนการนิติวิทยาศาสตร์ทางดิจิทัล เป็นที่สนใจมากขึ้น เหตุจากช่วงที่ผ่านมามีเหตุการณ์ต่างๆ เกิดขึ้นกับระบบโครงสร้างพื้นฐานและระบบเครือข่ายของหน่วยงาน องค์กรทางภาครัฐและเอกชน
บทความโดย... รศ.ดร.พงษ์พิสิฐ วุฒิดิษฐโชติ และ เกียรติศักดิ์ จันทร์ลอย
ภาควิชาการสื่อสารข้อมูลและเครือข่าย คณะเทคโนโลยีสารสนเทศและนวัตกรรมดิจิทัล
มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าพระนครเหนือ
ปัญหาเหตุการณ์ด้านความมั่นคงปลอดภัยที่เกิดขึ้น เช่น ระบบโครงสร้างพื้นฐานหยุดทำงานจากการถูกการโจมตี หรือเหตุการณ์ข้อมูลสารสนเทศสำคัญทางการแพทย์รั่วไหล รวมถึงการที่ข้อมูลลูกค้าของภาคธุรกิจการถูกจารกรรม จากเหตุการณ์ที่เกิด ย่อมทำให้หน่วยงานภาครัฐและภาคธุรกิจมีความกังวลและมีความตื่นตัวเกิดขึ้น โดยการเตรียมแผน (Plan) นโยบาย (Policy) กระบวนการ (Process) การให้ความรู้ (Awareness) รวมถึงเทคโนโลยี (Technology) ต่าง ๆ ที่นำมาประยุกต์ใช้ในการรับมือและตอบสนองต่อเหตุการณ์ผิดปกติ ภัยคุกคามต่าง ๆ ที่เกิดขึ้น
ที่ผ่านมาทุกส่วนงานต่าง ๆ มุ่งเน้นกระบวนการทางด้านการตอบสนองต่อเหตุการณ์ฉุกเฉินที่เกิดขึ้น สำหรับบริหารความเสี่ยงและผลกระทบที่เกิดขึ้น ซึ่งนอกจากกระบวนการในการตอบสนองต่อเหตุการณ์ต่าง ๆ (Incident Response) แล้ว ยังมีอีกหนึ่งกระบวนการที่สำคัญซึ่งโดยทั่วไปเรียกว่า “กระบวนการพิสูจน์หลักฐานทางด้านดิจิทัล” (Digital Forensics Investigation) ซึ่งเป็นกระบวนการที่ใช้สำหรับหาตัวผู้กระทำความผิดหรือใช้สำหรับเก็บรวมรวบ ข้อมูล หลักฐานต่าง ๆ ที่อาจเกี่ยวข้องกับคดีความหรือการฟ้องร้องต่าง ๆ ที่เกิดขึ้น หลังจากเหตุการณ์การจารกรรมข้อมูล ภัยคุกคาม หรือข้อมูลสำคัญรั่วไหล
ISO (International Organization for Standardization) ได้กำหนดมาตรฐานสากล ISO/IEC 27037:2012 Information technology-Security techniques-Guidelines for identification, collection, acquisition, and preservation of digital evidence ที่เกี่ยวกับหลักการด้าน “กระบวนการจัดการข้อมูลหลักฐานดิจิทัล” ซึ่งประกอบไปด้วยองค์ประกอบ 4 ส่วนดังนี้
“หลักฐานดิจิทัล” หมายถึง ข้อมูลใด ๆ ที่เกิดขึ้นจากอุปกรณ์ดิจิทัล หรือถูกสร้างขึ้นด้วยวิธีการ กระบวนการที่ได้รับการรับรองตามหลักการสากล สำหรับนำเสนอหรือใช้งานเหตุการณ์ที่มีคดีความ ให้สามารถใช้นำเสนอเป็นหลักฐานในชั้นศาล เพื่อรับฟังเป็นพยานหลักฐานในศาลที่มีเขตอำนาจได้ มาตรฐานจะหลีกเลี่ยงการใช้คำศัพท์เฉพาะเขตอำนาจศาลใดศาลหนึ่ง และจะไม่ครอบคลุมถึงการวิเคราะห์หลักฐานดิจิทัลหรือการยอมรับหรือการชั่งน้ำหนักพยานหลักฐาน และความเกี่ยวข้อง ฯลฯ นอกจากนี้ ยังไม่กำหนดให้ใช้เครื่องมือหรือวิธีการเฉพาะ
รูปที่ 1 กระบวนการจัดการข้อมูลหลักฐาน
ภาพจาก A Novel Process Framework for Digital Forensics Tools: Based on ISO/IEC 27037:2012, โดย Da-Yu Kao, Guan-Jie Wu and Ying-Hsuan Chiu
1. การระบุข้อมูลหลักฐาน (Identification): หลักฐานดิจิทัลเป็นสิ่งจำเป็นต่อการวิเคราะห์เหตุการณ์ หรือใช้เป็นข้อมูลเสนอในกระบวนการพิจารณาของศาล โดยข้อมูลหลักฐานที่จะนำมาใช้งานได้นั้น ต้องสามารถระบุแหล่งที่มาของข้อมูลหลักฐานได้ว่าข้อมูลดังกล่าวนั้นมาจากที่ใด มาจากประเภทอุปกรณ์ใด และใช้วิธีการอย่างไร ในการได้มาซึ่งข้อมูลหลักฐานดังกล่าว ซึ่งนำไปเชื่อมโยงกับหลักฐานอื่น ๆ หรือบุคคลที่เกี่ยวข้องได้ ดังนั้นหลักฐานที่เก็บได้นั้นจะต้องมีการระบุที่มา และวิธีการได้มาของหลักฐานอย่างชัดเจนเพื่อให้สามารถตรวจสอบความถูกต้องได้
ดังนั้น การระบุข้อมูลอาจใช้คำถามที่เกี่ยวข้องต่อไปนี้:
•ใครที่มีส่วนเกี่ยวข้อง?
•เกิดอะไรขึ้น?
•เกิดขึ้นเมื่อไหร่?
•เกิดขึ้นที่ไหน?
•เกิดขึ้นได้อย่างไร?
2. การรวบรวมข้อมูล (Collection): หลักฐานดิจิทัลที่เกิดขึ้น เจ้าหน้าที่ต้องตัดสินใจว่าจะรวบรวมข้อมูลอย่างไรและมีปัจจัยใด ๆ ที่มีผลต่อการตัดสินใจอะไรบ้าง เช่น การเก็บข้อมูลหลักฐานทันทีเมื่อไฟดับเพราะข้อมูลหลักฐานเหล่านั้นจะหายไป
เพราะข้อมูลหลักฐานบางอย่างนั้นเป็นข้อมูลในหน่วยความจำชั่วคราว (RAM) ที่กำลังทำงานอยู่ ซึ่งเรียกว่าหลักฐานที่สูญสลายได้ (Volatile evidence) โดยเก็บจากข้อมูลที่สูญสลายได้เร็วที่สุดก่อน จากนั้น เก็บข้อมูลที่ยังคงมีอยู่ได้แม้ไม่มีไฟเลี้ยง เช่น ฮาร์ดไดรฟ์ ฮาร์ดไดรฟ์พกพา ซึ่งเรียกว่าหลักฐานที่ไม่สูญสลาย (Non-Volatile evidence)
ดังนั้น เพื่อสร้างความมั่นใจให้กับผู้ที่เกี่ยวข้องและให้ใช้ในชั้นศาลได้ ต้องมีการรวบรวมหลักฐานโดยใช้วิธีการ เครื่องมือ และบุคลากรที่มีความรู้ความสามารถ ที่ได้รับการยอมรับตามมาตรฐานหรือกฎระเบียบที่เกี่ยวข้อง
ภาพที่ 2 ประเภทหลักฐานดิจิทัล (Digital Evidence Type)
3. การได้มาซึ่งข้อมูล (Acquisition): กระบวนการได้มาซึ่งหลักฐานต้นฉบับ (Original source evidence) ทั้งทางหลักฐานทางกายภาพ (Physical) เช่น คอมพิวเตอร์ต่าง ๆ และหลักฐานทางตรรกะ (Logical) เช่น ข้อมูลต่าง ๆ ต้องมีการป้องกันหลักฐานดิจิทัลจากการถูกลบ ถูกเปลี่ยนแปลง แก้ไข โดยเมื่อได้หลักฐานต้นฉบับมาแล้วจะเก็บไว้ โดยไม่ให้มีการเข้าไปแตะต้องกับหลักฐานต้นฉบับ หากมีการขอหลักฐานไปใช้งาน จะทำการส่งสำเนาของหลักฐานต้นฉบับ (Digital evidence copy) ไปให้กับผู้ร้องขอ (เก็บหลักฐานต้นฉบับไว้ ไม่ให้มีการเปลี่ยนแปลงหรือแก้ไขได้) และต้องมีการบันทึกห่วงโซ่การครอบครองวัตถุพยาน (Chain of custody) ว่าหลักฐานมีการถูกเข้าถึงโดยใคร เมื่อไหร่ อย่างไร ด้วยเหตุผลอะไร
ในการสืบสวนทางกระบวนการพิสูจน์หลักฐานดิจิทัล การได้มาซึ่งข้อมูลอาจเป็นขั้นตอนที่สำคัญที่สุด และเกี่ยวข้องกับลำดับเหตุการณ์ ข้อมูลและหลักฐานที่ได้มาต้องมีรายละเอียดที่ครบถ้วนถูกต้อง ซึ่งต้องดำเนินด้วยวิธีการ กระบวน เครื่องมือ ข้อกำหนดของซอฟต์แวร์และฮาร์ดแวร์ทั้งหมด รวมถึงสื่อคอมพิวเตอร์ ที่มีมาตรฐานและเป็นที่ยอมรับไม่ขัดต่อข้อกำหนดและกฎหมายใด ๆ สำหรับการได้มาซึ่งหลักฐานดิจิทัล
4. ความสมบูรณ์ของข้อมูลหลักฐาน (Preservation): ในการสืบสวนสอบสวนนั้น ข้อมูลหลักฐานเป็นสิ่งสำคัญที่ส่งผลต่อเหตุการณ์หรือคดี ดังนั้น ข้อมูลหลักฐานจำเป็นต้องได้รับการปกป้อง รวมถึงการทำสำเนาข้อมูลและตรวจสอบความถูกต้องของข้อมูล เพื่อสำหรับใช้ยืนยันความถูกต้องและเพื่อแน่ใจว่าข้อมูลหลักฐานดังกล่าวนั้นมีความสมบูรณ์อยู่เสมอ ไม่ได้ถูกใครเปลี่ยนแปลงหรือแก้ไขใด ๆ ที่ที่อาจส่งให้ให้เกิดการปลอมแปลงหรือทำลายข้อมูลหลักฐานได้
กระบวนการรวบรวมข้อมูลและหลักฐานประกอบต่าง ๆ ในกระบวนการ ขั้นตอน การพิสูจน์หลักฐานดิจิทัลมีความสำคัญมากเพราะใช้ในการดำเนินดดี เอาผิดกับบุคคลที่ไม่ประสงค์ดีได้ แต่การได้ข้อมูลหลักฐานนั้นต้องมีวิธีการ กระบวนการ เครื่องมือ และบุคลากรที่ใช้การรวบรวมข้อมูลที่มีมาตรฐานและได้รับการรองรับ และไม่ขัดต่อข้อกำหนดกฎหมายของประเทศนั้น ๆ
ประเทศไทยยังขาดทั้งเครื่องมือ กระบวนการ รวมถึงบุคลากรด้านนี้เป็นอย่างมาก จึงเป็นประเด็นเร่งด่วนที่ควรพิจารณาให้ความสำคัญ.