Cos’è l’informatica forense e di cosa si occupa
La diffusione ormai globale di internet e dei sistemi digitali ha innescato un processo di costante digitalizzazione non solo di molti aspetti della vita quotidiana ma anche del mondo del lavoro. Molte aziende, infatti, utilizzano architetture digitali o network per la gestione e la conservazione dei dati, oltre che per lo svolgimento di determinate attività aziendali. Di contro, si sono sviluppati anche i cosiddetti ‘crimini informatici’, messi in atto da soggetti esterni al fine di accedere forzosamente all’interno di un sistema protetto per acquisire dati sensibili o informazioni riservate. La scienza che si occupa di prevenire ed indagare questo genere di crimini viene definita ‘informatica forense’. Vediamo di seguito di cosa si tratta e quali applicazioni trova in ambito aziendale.
Cos’è l’informatica forense
L’informatica forense (in inglese: ‘computer forensics’) è una scienza che fa parte della ‘digital forensics’, che a sua volta rappresenta una branca delle scienze forensi. In quanto tale, l’informatica forense si occupa principalmente di analizzare i dati conservati all’interno di dispositivi digitali, secondo un processo che comprende sia il semplice recupero dei dati sia la ricostruzione cronologica delle attività inerenti al dispositivo analizzato. Le indagini di informatica forense possono risultare utile anche nell’ambito di processi civili in quanto in grado di fornire prove rilevanti, purché le informazioni presentate nel corso del procedimento risultino ammissibili, autentiche ed ottenute in maniera legale.
Si parla, in tal caso, di ‘prova digitale’. Questo concetto è stato definito, tra gli altri, dalla IOCE, la International Organization on Computer Evidence fondata nel 1995. Lo scopo dell’organizzazione è quello di porsi come foro per lo scambio di informazioni riguardanti le indagini sui crimini digitali e le relative questioni di informatica forense. La IOCE svolge un ruolo importante in questo ambito, in quanto si occupa di formulare degli standard per le prove digitali oltre a identificare e discutere problematiche di interesse primario per le parti che la costituiscono.
Secondo la definizione elaborata dalla IOCE nel 2000, la “prova digitale è un’informazione generata, conservata o trasmessa utilizzando dispositivi elettronici sulla quale si può fare affidamento in tribunale”. Molto simile è la definizione fornita già nel 1999 dalla SWGDE (acronimo di Scientific Working Group on Digital Evidence), secondo la quale una prova digitale è rappresentata da “qualsiasi informazione, con valore probatorio, che sia o meno memorizzata o trasmessa in un formato digitale”.
Per quanto concerne invece l’informatica forense, molti studiosi ed organizzazioni di settore hanno provato a formulare una definizione efficace, giungendo a risultati a volte contrastanti. Bisogna anzitutto sottolineare come la prima definizione – computer forensics – nasca nella prima metà degli anni Ottanta, quando venne coniata dall’FBI, tenendo presente che all’epoca ci si riveriva ai dati digitali come ‘dati magnetici’: nel 1984 nacque il ‘Magnetic Media Program’ che, solo successivamente, diventerà il CART (Computer Analysis and Response Team). A distanza di quasi trent’anni è stata introdotta una più moderna denominazione (‘digital forensics’) anche in relazione ai rapidi sviluppi della materia. Questo tipo di analisi forense, infatti, con il tempo ha allargato il proprio raggio d’azione, passando dai supporti fissi (computer e hard disk) ad una più vasta gamma di device, come ad esempio laptop, console per videogiochi, smartphone e non solo. Il ramo delle scienze forensi che si occupa di reti digitali prende il nome di Network Forensics.
A cosa serve l’informatica forense
Benché non esista una definizione univoca di informatica forense, gli esperti sono largamente concordi su quali siano gli scopi fondamentali di un’indagine forense digitale: la raccolta e l’analisi delle prove digitali al fine di risolvere casi di criminalità di diverso tipo. Per tanto, un’indagine di informatica forense prevede una fase preliminare di ricerca dei dati durante la quale le informazioni più rilevanti vengono raccolte, identificate ed etichettate; segue una fase in cui vengono esaminate, sia attraverso processi automatizzati sia manualmente (questo passaggio rappresenta il momento forse più delicato, dal momento che chi svolge le analisi deve assicurarsi di preservarne l’integrità). La fase di analisi, invece, consiste nel confrontare i dati raccolti ed i risultati ottenuti con le richieste poste da chi ha commissionato le indagini; in genere, specie se le operazioni forensi sono finalizzate all’utilizzo in ambito processuale, è prevista anche la presentazione degli esiti delle indagini e non solo: è possibile, infatti, che vengano descritte le tecniche e gli strumenti utilizzati, così come i processi necessari ad un eventuale proseguimento o completamento delle indagini stesse.
È chiaro, in base a quanto evidenziato sin qui, che le indagini di computer forensics possano essere effettuate solo da figure specializzate, in possesso di competenze specialistiche di molto superiori alla semplice raccolta e conservazione dei dati.
A cosa serve l’informatica forense a livello aziendale
In quanto scienza forense a tutti gli effetti, la computer forensics può trovare applicazione anche in ambito aziendale, specie se l’azienda fa largo uso di computer e altri supporti digitali, oppure se utilizza un network interno per le proprie attività. Nel caso in cui sorgano dei sospetti circa la sicurezza delle architetture o dei dispositivi digitali adoperati dall’azienda, il titolare (o, in sua vece, un legale rappresentate) può dare mandato ad un’agenzia di investigazioni privata di svolgere delle indagini di informatica forense.
I risultati, come già accennato, possono essere raccolti all’interno di una relazione che può assumere valore probatorio all’interno di un procedimento giudiziario. Per meglio chiarire le possibili applicazioni dell’informatica forense in ambito aziendale e lavorativo è bene fare un esempio concreto: se un datore di lavoro sospetta che il proprio dipendente abbia, in qualche modo, abusato della propria posizione (come ad esempio sottrarre o cancellare dati di proprietà dell’azienda o svolgere attività di hackeraggio), questi può commissionare un’indagine forense. Quest’ultima potrebbe concretizzarsi in una copia forense dell’hard disk del dipendente, a patto che il datore di lavoro sia in grado di dimostrare come un’operazione così invasiva sia supportata da un valido motivo.
Cyber forensics e indagini digitali