ภัยไซเบอร์ที่สร้างความเสียหายแก่ประชาชน ในหลากหลายรูปแบบ นับเป็นปัญหาซ้ำซากสำหรับประเทศไทย โดยผู้เสียหายมักตกเป็นเหยื่อโดยไม่รู้ตัว และเมื่อเกิดความเสียหายขึ้น ก็มักไม่สามารถตามจับตัวโจรไซเบอร์เหล่านั้นได้
อ.ฝน นรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล อุปนายกสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) ได้เปิดเผยกับฐานเศรษฐกิจ ถึงกระบวนการเพื่อสืบหาข้อเท็จจริงเช่นเดียวกับกระบวนการด้านนิติวิทยาศาสตร์ตามปกติ แต่ปัจจุบัน อาชญากรรมต่างๆ มักมีเครื่องมือหรืออุปกรณ์เป็นระบบดิจิตอลเข้าไปเกี่ยวข้อง จึงเป็นที่มาของนิติวิทยาศาสตร์ทางดิจิตอล หรือ Digital Forensics
Digital Forensics คือ การจัดเก็บรวบรวม และวิเคราะห์หลักฐานทางดิจิตอล ด้วยกระบวนการที่น่าเชื่อถือเพื่อให้สามารถนำข้อเท็จจริงจากการวิเคราะห์หลักฐานนำไปใช้เป็นหลักฐานที่ศาลยอมรับฟังได้ โดยหน่วยงาน หรือองค์กรที่เกี่ยวข้อง และมีอำนาจหน้าที่ตามกฎหมาย
องค์ประกอบของกระบวนการ Digital Forensics
ต้องมีการฝึกอบรมเพื่อให้บุคลากร มีทักษะ และความรู้ความเข้าใจ โดยปัจจุบันในต่างประเทศมีหลักสูตรและการสอบรับรองคุณวุฒิของหลายสถาบันที่เป็นที่ยอมรับ เช่น GCFA (GIAC Certified Forensic Analyst) ของสถาบัน SANS, CCFE (Certified Computer Forensics Examiner) ของ IACRB และ CCE (Certified Computer Examiner) ของ ISFCE เป็นต้น
กระบวนการต่างๆต้องเป็นไปตามหลักวิชาการที่เป็นที่ยอมรับโดยสากล และมีการทำบันทึกเป็นลายลักษณ์อักษรตลอดกระบวนการ ต้องสามารถตรวจสอบย้อนหลังได้ ต้องมีการบวนการควบคุมเพื่อให้เกิดความมั่นคงปลอดภัยต่อหลักฐาน เพื่อมิให้หลักฐานถูกทำลาย เปลี่ยนแปลง หรือหลุดรั่วออกไปโดยไม่ได้รับอนุญาต
ส่วนใหญ่จะเป็นเครื่องมือภาคสนามขนาดพกพา (portable) เช่นอุปกรณ์จัดเก็บ Volatile Data หรือข้อมูลที่อยู่ใน RAM อุปกรณ์ต่อพ่วง อุปกรณ์ทำสำเนา hard disk ที่ต้องมีคุณลักษณะป้องกันการเขียนทับข้อมูลลงไปบนหลักฐานหรือ writer-blocker ถุงป้องกันไฟฟ้าสถิตย์ (Static Bag) และ ถุงป้องกันคลื่อนแม่เหล็กไฟฟ้า (Faraday Bag) เป็นต้น เพื่อให้สามารถจัดเก็บ และรักษาสภาพของหลักฐานไว้ให้อยู่ในสภาพเดิมให้ได้มากที่สุด
เพื่อหาความเชื่อมโยงของคน กิจกรรม วัน เวลา หรือเรียกง่ายๆ ว่า ใคร ที่ไหน เมื่อไหร่ อย่างไร โดยใช้ทั้ง hardware และ software ในการการกู้คืนข้อมูลที่ถูกลบ การประมวลผล file system รูปแบบต่างๆ การทำแผนผังลำดับเหตุการณ์ (timeline) และการค้นหาด้วยคำค้นต่างๆ (keyword search)
ห้องปฏิบัติการด้านนิติวิทยาศาสตร์นั้นจะต้องเป็นพื้นที่ที่มีการควบคุมในระดับสูงเป็นไปตามมาตรฐานที่เป็นที่ยอมรับสากล ซึ่งมักจะอ้างอิงถึง ASCLD/LAB (The American Society of Crime Laboratory Directors/Laboratory Accreditation Board) เป็นหลัก
ขั้นตอนดำเนินการ
การเก็บรวบรวมหลักฐานจากที่เกิดเหตุ
ต้องพยายามจัดเก็บรวบรวมข้อมูลหลักฐานที่เป็น volatile และที่เป็น non-volatile ซึ่งมีขั้นตอนในรายละเอียดมาก จากนั้นจะมาเน้นที่ขั้นตอนการหุ้มห่อลงในถุงหรือหีบห่อที่มีคุณสมบัติป้องกันไฟฟ้าสถิตย์ และป้องกันคลื่นแม่เหล็กไฟฟ้าในกรณีที่หลักฐานมีความไวต่อคลื่นแม่เหล็กไฟฟ้า
ขั้นตอนการทำงาน ของกระบวนการ Digital Forensics
ต้องมีหนังสือ หรือแบบฟอร์มกำกับเพื่อให้สามารถตรวจสอบย้อนหลังได้ว่าในแต่ละช่วงเวลามีใครเป็นถือครองหรือรับผิดชอบต่อหลักฐานนั้นๆ เพื่อป้องกันการลักลอบเข้าถึง เปลี่ยนแปลงหรือทำลายหลักฐานโดยไม่ได้รับอนุญาต
ต้องทำด้วยอุปกรณ์ที่ถูกออกแบบมาเฉพาะเพื่อใช้ในงานด้าน Digital Forensic โดยเฉพาะโดยต้องมีอุปกรณ์ write-blocker เพื่อช่วยป้องกันไม่ให้มีการเขียนทับข้อมูลลงไปในสื่อบันทึกข้อมูลที่เป็นหลักฐานต้นฉบับ และไม่สามารถทำโดยการ copy file ตามปกติได้ แต่ต้องใช้วิธีการทำ bit-by-bit imaging และเมื่อทำการสำเนาแล้วต้องมีการทำเอกลักษณ์ทางดิจิตอลเพื่อเป็นการรับรองสำเนา ด้วยเทคนิค data hashing จะทำให้ทราบได้ว่าหลักฐานที่ได้ทำสำเนาขึ้นใหม่นี้มีความคงเดิมและไม่มีการเปลี่ยนแปลงไปแม้แต่ bit เดียว ซึ่ง algorithm ที่เป็นที่นิยมคือ MD5 และ SHA-1
เพื่อค้นหาข้อมูลนำไปสู่ความเชื่อมโยงของบุคคล กับเวลา และเหตุการณ์
เป็นการเขียนรายงานสรุปสิ่งที่ตรวจพบ และบทวิเคราะห์ต่างๆ เพื่อนำไปประกอบสำนวน โดยต้องเขียนแยกให้เห็นเด่นชัดว่าส่วนใดเป็นข้อเท็จจริงที่ค้นพบจากหลักฐาน และส่วนใดเป็นข้อคิดเห็นของผู้เชี่ยวชาญ
ทั้งนี้งานด้าน digital forensic ยังสามารถแยกแตกแขนงความเชี่ยวชาญออกไปเป็นสาขาย่อยๆ ได้อีก เช่น computer forensic