กระบวนการนิติวิทยาศาสตร์ทางดิจิทัล

กระบวนการนิติวิทยาศาสตร์ทางดิจิทัล

กระบวนการนิติวิทยาศาสตร์ทางดิจิทัล เป็นที่สนใจมากขึ้น เหตุจากช่วงที่ผ่านมามีเหตุการณ์ต่างๆ เกิดขึ้นกับระบบโครงสร้างพื้นฐานและระบบเครือข่ายของหน่วยงาน องค์กรทางภาครัฐและเอกชน

บทความโดย... รศ.ดร.พงษ์พิสิฐ วุฒิดิษฐโชติ และ เกียรติศักดิ์ จันทร์ลอย 
ภาควิชาการสื่อสารข้อมูลและเครือข่าย คณะเทคโนโลยีสารสนเทศและนวัตกรรมดิจิทัล 
มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าพระนครเหนือ

ปัญหาเหตุการณ์ด้านความมั่นคงปลอดภัยที่เกิดขึ้น เช่น ระบบโครงสร้างพื้นฐานหยุดทำงานจากการถูกการโจมตี หรือเหตุการณ์ข้อมูลสารสนเทศสำคัญทางการแพทย์รั่วไหล รวมถึงการที่ข้อมูลลูกค้าของภาคธุรกิจการถูกจารกรรม จากเหตุการณ์ที่เกิด ย่อมทำให้หน่วยงานภาครัฐและภาคธุรกิจมีความกังวลและมีความตื่นตัวเกิดขึ้น โดยการเตรียมแผน (Plan) นโยบาย (Policy) กระบวนการ (Process) การให้ความรู้ (Awareness) รวมถึงเทคโนโลยี (Technology) ต่าง ๆ ที่นำมาประยุกต์ใช้ในการรับมือและตอบสนองต่อเหตุการณ์ผิดปกติ ภัยคุกคามต่าง ๆ ที่เกิดขึ้น 
    ที่ผ่านมาทุกส่วนงานต่าง ๆ มุ่งเน้นกระบวนการทางด้านการตอบสนองต่อเหตุการณ์ฉุกเฉินที่เกิดขึ้น สำหรับบริหารความเสี่ยงและผลกระทบที่เกิดขึ้น ซึ่งนอกจากกระบวนการในการตอบสนองต่อเหตุการณ์ต่าง ๆ (Incident Response) แล้ว ยังมีอีกหนึ่งกระบวนการที่สำคัญซึ่งโดยทั่วไปเรียกว่า “กระบวนการพิสูจน์หลักฐานทางด้านดิจิทัล” (Digital Forensics Investigation) ซึ่งเป็นกระบวนการที่ใช้สำหรับหาตัวผู้กระทำความผิดหรือใช้สำหรับเก็บรวมรวบ ข้อมูล หลักฐานต่าง ๆ ที่อาจเกี่ยวข้องกับคดีความหรือการฟ้องร้องต่าง ๆ ที่เกิดขึ้น หลังจากเหตุการณ์การจารกรรมข้อมูล ภัยคุกคาม หรือข้อมูลสำคัญรั่วไหล 
    ISO (International Organization for Standardization) ได้กำหนดมาตรฐานสากล ISO/IEC 27037:2012 Information technology-Security techniques-Guidelines for identification, collection, acquisition, and preservation of digital evidence  ที่เกี่ยวกับหลักการด้าน “กระบวนการจัดการข้อมูลหลักฐานดิจิทัล” ซึ่งประกอบไปด้วยองค์ประกอบ 4 ส่วนดังนี้

หลักฐานดิจิทัล” หมายถึง ข้อมูลใด ๆ ที่เกิดขึ้นจากอุปกรณ์ดิจิทัล หรือถูกสร้างขึ้นด้วยวิธีการ กระบวนการที่ได้รับการรับรองตามหลักการสากล สำหรับนำเสนอหรือใช้งานเหตุการณ์ที่มีคดีความ ให้สามารถใช้นำเสนอเป็นหลักฐานในชั้นศาล เพื่อรับฟังเป็นพยานหลักฐานในศาลที่มีเขตอำนาจได้ มาตรฐานจะหลีกเลี่ยงการใช้คำศัพท์เฉพาะเขตอำนาจศาลใดศาลหนึ่ง และจะไม่ครอบคลุมถึงการวิเคราะห์หลักฐานดิจิทัลหรือการยอมรับหรือการชั่งน้ำหนักพยานหลักฐาน และความเกี่ยวข้อง ฯลฯ นอกจากนี้ ยังไม่กำหนดให้ใช้เครื่องมือหรือวิธีการเฉพาะ

  กระบวนการนิติวิทยาศาสตร์ทางดิจิทัล
รูปที่ 1 กระบวนการจัดการข้อมูลหลักฐาน
ภาพจาก A Novel Process Framework for Digital Forensics Tools: Based on ISO/IEC 27037:2012, โดย Da-Yu Kao, Guan-Jie Wu and Ying-Hsuan Chiu

 

    1. การระบุข้อมูลหลักฐาน (Identification): หลักฐานดิจิทัลเป็นสิ่งจำเป็นต่อการวิเคราะห์เหตุการณ์ หรือใช้เป็นข้อมูลเสนอในกระบวนการพิจารณาของศาล โดยข้อมูลหลักฐานที่จะนำมาใช้งานได้นั้น ต้องสามารถระบุแหล่งที่มาของข้อมูลหลักฐานได้ว่าข้อมูลดังกล่าวนั้นมาจากที่ใด มาจากประเภทอุปกรณ์ใด และใช้วิธีการอย่างไร ในการได้มาซึ่งข้อมูลหลักฐานดังกล่าว ซึ่งนำไปเชื่อมโยงกับหลักฐานอื่น ๆ หรือบุคคลที่เกี่ยวข้องได้ ดังนั้นหลักฐานที่เก็บได้นั้นจะต้องมีการระบุที่มา และวิธีการได้มาของหลักฐานอย่างชัดเจนเพื่อให้สามารถตรวจสอบความถูกต้องได้ 
    ดังนั้น การระบุข้อมูลอาจใช้คำถามที่เกี่ยวข้องต่อไปนี้:
    •ใครที่มีส่วนเกี่ยวข้อง?
    •เกิดอะไรขึ้น?
    •เกิดขึ้นเมื่อไหร่?
    •เกิดขึ้นที่ไหน?
    •เกิดขึ้นได้อย่างไร?

2. การรวบรวมข้อมูล (Collection): หลักฐานดิจิทัลที่เกิดขึ้น เจ้าหน้าที่ต้องตัดสินใจว่าจะรวบรวมข้อมูลอย่างไรและมีปัจจัยใด ๆ ที่มีผลต่อการตัดสินใจอะไรบ้าง เช่น การเก็บข้อมูลหลักฐานทันทีเมื่อไฟดับเพราะข้อมูลหลักฐานเหล่านั้นจะหายไป

เพราะข้อมูลหลักฐานบางอย่างนั้นเป็นข้อมูลในหน่วยความจำชั่วคราว (RAM) ที่กำลังทำงานอยู่ ซึ่งเรียกว่าหลักฐานที่สูญสลายได้ (Volatile evidence) โดยเก็บจากข้อมูลที่สูญสลายได้เร็วที่สุดก่อน จากนั้น เก็บข้อมูลที่ยังคงมีอยู่ได้แม้ไม่มีไฟเลี้ยง เช่น ฮาร์ดไดรฟ์ ฮาร์ดไดรฟ์พกพา ซึ่งเรียกว่าหลักฐานที่ไม่สูญสลาย (Non-Volatile evidence)
    ดังนั้น เพื่อสร้างความมั่นใจให้กับผู้ที่เกี่ยวข้องและให้ใช้ในชั้นศาลได้ ต้องมีการรวบรวมหลักฐานโดยใช้วิธีการ เครื่องมือ และบุคลากรที่มีความรู้ความสามารถ ที่ได้รับการยอมรับตามมาตรฐานหรือกฎระเบียบที่เกี่ยวข้อง

  กระบวนการนิติวิทยาศาสตร์ทางดิจิทัล
    ภาพที่ 2 ประเภทหลักฐานดิจิทัล (Digital Evidence Type)


    3. การได้มาซึ่งข้อมูล (Acquisition): กระบวนการได้มาซึ่งหลักฐานต้นฉบับ (Original source evidence) ทั้งทางหลักฐานทางกายภาพ (Physical) เช่น คอมพิวเตอร์ต่าง ๆ และหลักฐานทางตรรกะ (Logical) เช่น ข้อมูลต่าง ๆ ต้องมีการป้องกันหลักฐานดิจิทัลจากการถูกลบ ถูกเปลี่ยนแปลง แก้ไข โดยเมื่อได้หลักฐานต้นฉบับมาแล้วจะเก็บไว้ โดยไม่ให้มีการเข้าไปแตะต้องกับหลักฐานต้นฉบับ หากมีการขอหลักฐานไปใช้งาน จะทำการส่งสำเนาของหลักฐานต้นฉบับ (Digital evidence copy) ไปให้กับผู้ร้องขอ (เก็บหลักฐานต้นฉบับไว้ ไม่ให้มีการเปลี่ยนแปลงหรือแก้ไขได้) และต้องมีการบันทึกห่วงโซ่การครอบครองวัตถุพยาน (Chain of custody) ว่าหลักฐานมีการถูกเข้าถึงโดยใคร เมื่อไหร่ อย่างไร ด้วยเหตุผลอะไร
    ในการสืบสวนทางกระบวนการพิสูจน์หลักฐานดิจิทัล การได้มาซึ่งข้อมูลอาจเป็นขั้นตอนที่สำคัญที่สุด และเกี่ยวข้องกับลำดับเหตุการณ์ ข้อมูลและหลักฐานที่ได้มาต้องมีรายละเอียดที่ครบถ้วนถูกต้อง ซึ่งต้องดำเนินด้วยวิธีการ กระบวน เครื่องมือ ข้อกำหนดของซอฟต์แวร์และฮาร์ดแวร์ทั้งหมด รวมถึงสื่อคอมพิวเตอร์ ที่มีมาตรฐานและเป็นที่ยอมรับไม่ขัดต่อข้อกำหนดและกฎหมายใด ๆ สำหรับการได้มาซึ่งหลักฐานดิจิทัล 
    4. ความสมบูรณ์ของข้อมูลหลักฐาน (Preservation): ในการสืบสวนสอบสวนนั้น ข้อมูลหลักฐานเป็นสิ่งสำคัญที่ส่งผลต่อเหตุการณ์หรือคดี ดังนั้น ข้อมูลหลักฐานจำเป็นต้องได้รับการปกป้อง รวมถึงการทำสำเนาข้อมูลและตรวจสอบความถูกต้องของข้อมูล เพื่อสำหรับใช้ยืนยันความถูกต้องและเพื่อแน่ใจว่าข้อมูลหลักฐานดังกล่าวนั้นมีความสมบูรณ์อยู่เสมอ ไม่ได้ถูกใครเปลี่ยนแปลงหรือแก้ไขใด ๆ ที่ที่อาจส่งให้ให้เกิดการปลอมแปลงหรือทำลายข้อมูลหลักฐานได้ 
    กระบวนการรวบรวมข้อมูลและหลักฐานประกอบต่าง ๆ ในกระบวนการ ขั้นตอน การพิสูจน์หลักฐานดิจิทัลมีความสำคัญมากเพราะใช้ในการดำเนินดดี เอาผิดกับบุคคลที่ไม่ประสงค์ดีได้ แต่การได้ข้อมูลหลักฐานนั้นต้องมีวิธีการ กระบวนการ เครื่องมือ และบุคลากรที่ใช้การรวบรวมข้อมูลที่มีมาตรฐานและได้รับการรองรับ และไม่ขัดต่อข้อกำหนดกฎหมายของประเทศนั้น ๆ

ประเทศไทยยังขาดทั้งเครื่องมือ กระบวนการ รวมถึงบุคลากรด้านนี้เป็นอย่างมาก จึงเป็นประเด็นเร่งด่วนที่ควรพิจารณาให้ความสำคัญ.