Adli Bilişimde Tanımlama/Hazırlık Aşaması

Adli Bilişim Planlama

✅İster SOME tarafından müdahale edilecek bir olay öncesinde veya sonrasında, isterse başka bir inceleme konusuyla ilgili olsun; bir Adli Bilişim süreci başlatılacağında ilk olarak bu iş için bir yol haritası/eylem planı belirlemek gerekir.

• Verilerin kapsamını ve miktarını belirlemek

Adli Bilişim Uzmanının ilk planlaması gereken, olay konusu ile ilgili olarak tespit etmesi gerektiğini düşündüğü ve ihtiyacı olacağını düşündüğü verilerin kapsamını belirlemektir.

• E-delillerin neler olabileceğini belirlemek

Adli Bilişim Uzmanı olayı aydınlatmak için ihtiyacı olacağını düşündüğü verileri nerelerden elde edebileceğini, olay yerindeki karşılaşabileceği e-delillerin neler olabileceğini, nelerle karşılaşabileceğini belirlemeli veya tahmin etmelidir ki olay yerinde kullanılması muhtemel adli bilişim aygıtlarını yanında bulundurabilsin. Olay yerinde karşısına çıkabilecek olan kişisel bilgisayarlar ile sunucu bilgisayarlara veya akıllı telefonlara aynı adli bilişim aygıtlarıyla müdahale edilemeyeceği gibi; bir kişisel bilgisayarın adli kopyasının alınabilmesi için yanına alınması gereken boş veri depolama birimi miktarı ile bir sunucu bilgisayarın adli kopyasının alınabilmesi için yanına alınması gereken boş veri depolama birimi miktarının aynı olmayacağı aşikardır. Dolayısıyla uygun ve gerekli miktarda boş veri depolama birimi temin edilmelidir.

Hemen Tıkla Ara

• Strateji belirlemek

Olay ile ilgili yapılacak işlemler için daha sonra sorunlarla karşılaşmayacak şekilde bir strateji belirlenmesi gerekir. Hangi e-delile nasıl müdahale edileceği, veri bütünlüğünün nasıl korunacağı, dışarıdan müdahalelerin nasıl engelleneceği gibi konularda olay yerinde ve kısa sürede uygulanabilir nitelikte stratejiler belirlemek gerekmektedir.

• Delil teslim zinciri oluşturmak

Olay yerinden alınan e-deliller veya bu e-delillerin adli kopyalarının korunması gerekmektedir. Korunma iki yönde olmalıdır.
Birincisi; delillerin fiziksel olarak korunmasından ibarettir. E-deliller çevresel faktörlerden etkilenerek arızalanabilmekte ve böylelikle delil niteliklerini kaybedebilmektedirler. Örneğin içerisinde bir olayla ilgili adli kopyaların bulunduğu bir sabit disk manyetik etkilerin altında olan bir ortamdan geçirilirse sabit disk içerisindeki manyetik veri depolama birimi olan plakaların(platter) üzerinde yazılı olan verilen mıknatıslama etkisiyle mevcut halini koruyamayarak değişecek ve bu şekilde e-delil içerisindeki adli kopyaların da doğru çalışabilirliği kalmayacağından henüz incelenmeyen e-delil kaybedilmiş olacaktır. Dolayısıyla e-delillerin bütünlüğünü kaybetmeyecekleri şekilde bir ortam sağlayacak delil poşetleri/zarfları/odaları hazırlanmalıdır.
İkincisi; e-delillerin, tıpkı diğer tüm delillerde olduğu gibi, el değiştirmelerinin kayıt altına alınmasından ibarettir. Bu kayıtlar sıralı bir şekilde olmalı ve tarih saat gibi bilgileri de içermelidir. Bu şekilde delillerin üzerinde oynama yapılmasının önüne geçilmiş olunur ve herhangi bir sorun olduğunda bu sorunun hangi aşamada olduğunun tespiti yapılabilir hale gelir.

• Şeffaflık ve görünebilirlik

Tüm bu hazırlıklardan sonra yapılacak olan işlemlerin şüphe uyandırmayacak netlikte ve şeffaflıkta yapılabilmesi için tüm tedbirleri almak gerekir. Olay ile ilgili yapılacak işlemlerden sonra e-delilin değişmeyeceğinin garantisinin olduğu, işlemlerin yazmaya karşı korumalı şekilde yapıldığı anlatılmalı ve böylece işe başlanmalıdır.