EDRM

EDRM, czyli Electronic Discovery Reference Model to powszechnie uznany model eDiscovery rozwijany oraz w pełni udostępniony na stronie edrm.net. Ułatwia on zrozumienie całego procesu, dlatego warty jest opisania.

Oto ten model:

EDRM-Chart_v3[1]

Poniżej opisuję kolejne etapy.

Information governance – czyli zarządzanie informacją

Zarządzanie informacją nie jest w ścisłym tego słowa znaczeniu częścią procesu przetwarzania danych dla celów eDiscovery, jest ono jednak konieczne aby ten proces przebiegał sprawnie i bez nadmiernych kosztów. Korporacja powinna wiedzieć gdzie i jakie dane się znajdują. Wydaje się to proste jednak w praktyce dane łatwo i szybko się decentralizują a kontrola nad nimi jest często niewielka.

Działające od lat korporacje zbierają i przechowują dane na wielu systemach, sporo jest systemów które wyszły już dawno z użytku, jednak ciągle zalegają gdzieś w serwerowni. Istnieją archiwa i backupy sprzed lat, o których wszyscy już zapomnieli. Różne działy przechowują dokumenty w różnych miejscach, a pracownicy przechowują dane na swoich komputerach, dyskach USB oraz innych urządzeniach przenośnych. W erze BYOD dokumenty korporacji przechowywane są na prywatnych urządzeniach, a w erze chmur, w przeróżnych chmurach.

W takiej sytuacji gdy zachodzi potrzeba przeprowadzenia wewnętrznego dochodzenia i przeanalizowania danych na przykład z ostatnich pięciu lat, zderzamy się z ogromem problemów związanych z ich odnalezieniem i usystematyzowaniem.

Do procesu EDiscovery należy się więc przygotować wprowadzając odpowiednie procedury zarządzania danymi.

Oto niektóre przykłady:

  • Wprowadzenie systemu archiwizacji korespondencji email takiego jak Symantec Enterprise Vault (lub podobnego “Vaultu”) a w mniejszych firmach systemu opartego bezpośrednio na serwerze email np Exchange Journaling. Systemy takie zapewniają, że wszystkie emaile w firmie zostaną zarchiwizowane i jeżeli użytkownik nawet je usunie, to pozostaną w archiwum gotowe do potencjalnej analizy.
  • Podjęcie decyzji jak długo dane firmy powinny być przechowywane (3, 5 lat itp.). Każdy dział gospodarki będzie miał inne potrzeby i wymagania prawne. Ścisłe przestrzeganie podjętej decyzji poprzez przeprowadzanie destrukcji danych.
  • Utrzymanie kontroli nad systemami kopii zapasowych i archiwizacji. Przedłużenie żywotności niektórych kopii zapasowych tak aby zadośćuczyniły one wymaganiom terminów wskazanych powyżej.
  • Segregacja danych na serwerach plików w taki sposób by łatwo było ustalić do których działów należą, a jeżeli to możliwe, do których pracowników.
  • Ograniczenie liczby prywatnych danych na komputerach służbowych takich jak zdjęć z wakacji,   prywatnych dokumentów – poprzez wprowadzenie odpowiednich procedur/regulaminów.
  • Stworzenie dokumentu, tak zwanej mapy danych, w którym opisane będą wszystkie źródła potencjalnych dokumentów. Wbrew pozorom nie jest to zadanie łatwe i bardzo rzadko spotykane w praktyce.

Identification, czyli … identyfikacja

Pozostawiamy w tyle przygotowania. Postępowanie zostało już wszczęte. Pierwszym etapem jest identyfikacja źródeł dowodowych.

Wcześniej wspomniałem o mapie danych, która prawdopodobnie nie istnieje. Należy ją teraz stworzyć. Mapa może mieć postać dokumentu Worda lub Excela – cokolwiek wydaje się najodpowiedniejsze dla danego podmiotu. Powinna zawierać wszystkie potencjalne źródła dowodowe. Typowe źródła dowodowe opisałem w tym artykule z informatyki śledczej

Mapę danych konfrontujemy z potrzebami dochodzenia. Potrzeby zaś określane są przez osoby je prowadzące – prawnicy, kadrowcy, zarząd, zewnętrzni konsultanci.

Zwykle powinno się określić:

  • Ramy czasowe dochodzenia na przykład od roku 2011 do 2016
  • Pracownicy objęci postępowaniem
  • Przyczyna wszczęcia postępowania.

Na podstawie powyższych danych gotowi jesteśmy do identyfikacji konkretnych źródeł:

  • Komputery, telefony i inne urządzenia konkretnych pracowników,
  • Ich skrzynki pocztowe oraz dane na serwerach
  • Dane z serwerów plików konkretnych departamentów
  • Potencjalne dane z serwerów zarządzania dokumentami oraz z systemów finansowych
  • itp.

Po zidentyfikowaniu danych, możemy przejść do kolejnego etapu.

Preservation, collection, czyli – zabezpieczenie i zabezpieczenie tylko w innym rozumieniu

Preservation to zabezpieczenie danych w miejscu w którym się znajdują (i pozostawienie ich tam).

Collection to zabezpieczenie danych w taki rozumieniu jak policja je zabezpiecza – czyli zbieranie dowodów i przechowywanie ich w bezpiecznym miejscu. Nazwijmy ten etap zbieraniem dowodów.

Zabezpieczenie na miejscu zaczyna się wcześniej i jest szersze od późniejszego zabezpieczenia/zbierania. Wynika to z tego, że we wczesnych etapach dochodzenia nie wiadomo jeszcze jaki będzie jego pełny zakres i w którą stronę się potoczy. Należy więc zwykle zabezpieczyć na miejscu jak najwięcej danych i jak najszybciej. Można je zacząć równocześnie z identyfikacją. Jakie są metody takiego zabezpieczenia? Oto niektóre:

  • Modyfikacja konfiguracji rotacji kopii zapasowych / napędów taśmowych, w takim zakresie, że starsze kopie nie są nadpisywane.
  • Wstrzymanie procedur niszczenia danych z nośników w przypadku pracowników, którzy odchodzą z pracy lub otrzymują nowy komputer.
  •   Uruchomienie funkcji Litigation Hold lub eDiscovery hold na serwerach emaliowych Microsoft Exchange.
  • Wykonanie jednorazowej kopii zapasowej różnych systemów na potrzeby postępowania.

Dzięki powyższym działaniom, uniemożliwiamy osobom zamieszanym w działania korupcyjne modyfikację materiału dowodowego.

Zbieranie dowodów to kolejny etap, w którym kopiujemy konkretne nośniki i dane z serwerów w celu ich późniejszej analizy. Dowody zbiera się zgodnie zasadami ustalonymi dla informatyki śledczej , które opisałem we wcześniejszej serii artykułów.

Processing, czyli przetwarzanie danych

Po zebraniu dowodów należy je przetworzyć, czyli ujednolicić w taki sposób aby było możliwa ich usystematyzowana analiza.

Dane ze wszystkich źródeł przetwarzane są w specjalistycznym oprogramowaniu (jak na przykład Nuix lub Law Prediscovery), które przede wszystkim:

  • wypakowuje wszystkie możliwe  pliki i emaile ze wszystkich archiwów i kontenerów.
  • Kopiuje lub wykrywa tekst we wszystkich zidentyfikowanych dokumentach i emailach.
  • Wykrywa wszystkie możliwe metadane we wszystkich emailach i dokumentach.

Innymi słowy, oprogramowanie do przetwarzania danych tworzy katalog wszystkich obiektów zawartych na nośnikach, który ma zwykle formę indeksu lub bazy danych.

Review, czyli… przeglądanie danych

Uzyskany powyżej katalog jest z kolei importowany na platformę umożliwiającą ich przeglądanie osobom prowadzącym dochodzenie. Taką platformą jest na przykład Relativity. Jest to oparte na serwerze www oprogramowanie, w którym dokumenty przegląda się w przeglądarce po zalogowaniu do odpowiedniego serwera. Przeglądający dokumenty mogą między innymi je kodować, czyli nadawać tagi takie jak: nie związany ze sprawą, związany ze sprawą, kluczowy itp.

Analysis, czyli… analiza

Po etapie przeglądu, nadchodzi czas na analizę. W tym przypadku, zwykle bardziej doświadczeni, od tych którzy przeprowadzali przegląd, zapoznają się z treścią dokumentów oznaczonych jako związanych ze sprawą. Na ich podstawie kierują oni dalszym dochodzeniem i podejmują decyzje z nim związane.

Production, czyli… produkcja

Produkcja to etap, w którym przekazujemy dokumenty zidentyfikowane w wyniku przeglądu i analizy innym podmiotom. W zależności od rodzaju postępowania mogą to być organy ścigania, instytucje państwowe, inne podmioty gospodarcze. Może też tego etapu w ogóle nie być.

Presentation, czyli… prezentacja

To uwieńczenie całego procesu. Dane są prezentowane w sądzie, posiedzeniu zarządu lub radzie nadzorczej lub w innej instytucji powiązanej z danym postępowaniem