Il termine analisi forense racchiude tutte quelle operazioni finalizzate a individuare e raccogliere dati all’interno di sistemi o dispositivi informatici, ma anche in rete al fine di ottenere elementi probatori da utilizzare in giudizio.
L’indagine forense nasce laddove un soggetto, molto spesso un’azienda, ha il sospetto di essere stata vittima di una frode informatica o di un attacco.
Una disciplina normativa è stata di fatto introdotta con l’entrata in vigore del GDPR (General Data Protection Regulation), il Regolamento europeo sulla protezione dei dati che ha innovato la disciplina della privacy per le aziende che operano nel mercato europeo.
Le norme del Regolamento hanno introdotto un obbligo di notifica, entro le 72 ore, di eventuali violazioni informatiche subite dall’azienda. Le aziende sono inoltre obbligate a ricostruire l’accaduto e a valutarne l’impatto
L’analisi forense deve inoltre rispondere agli standard ISO/IEC 27035 e ISO/IEC 27037, ricompresi all’interno della serie di standard 27000 incentrati sulla sicurezza informatica.
Il primo è anche conosciuto come SIEM (Information Security Incident Management) e definisce le linee guida per l’individuazione delle procedure e dei controlli per la gestione di incidenti informatici. Si compone di cinque fasi:
L’ISO/IEC 27037 reca le “Guidelines for identification, collection, acquisition and preservation of digital evidence” e regola le modalità con le quali deve essere condotta un’analisi forense.
Nel contesto dell'analisi forense, il processo si articola in tre fasi fondamentali e ciascuna riveste un ruolo cruciale nell'individuazione e nella documentazione delle prove necessarie.
Durante tutte le fasi occorre occuparsi anche della conservazione, garantendo così che in nessun frangente la potenziale prova digitale possa essere involontariamente o volontariamente corrotta.
Chi effettua l’analisi forense deve tenere un’adeguata reportistica che sia composta dall’elencazione dei reperti con le relative specifiche (tracciabilità), la priorità d’intervento ovvero la pianificazione dell’ordine di trattamento dei reperti, l’imballaggio cioè le modalità di protezione dell’integrità e la riservatezza dei supporti e dei dati acquisiti, il trasporto e il tracciamento delle varie prese in carico dei reperti con relativa motivazione.
Perché si possa parlare di prova digitale deve esservi pertinenza, ovvero la prova deve contenere dati pertinenti e quindi utili ai fini dell’indagine. Deve esservi affidabilità e quindi la prova deve essere risultato riproducibile della copia dell’originale. È poi necessario che la prova sia verificabile da parte di terzi. Infine, deve esservi giustificabilità, dimostrando che l’acquisizione sia stata dettata dalle migliori scelte possibili.
L'analisi forense, oltre al suo ruolo tradizionale di ricostruzione post-mortem degli attacchi informatici, riveste un'importanza cruciale nel contrasto preventivo alle attività dei pirati informatici. I sempre più sofisticati attacchi cyber richiedono un'analisi rapida e approfondita delle strategie impiegate, al fine di attuare una risposta efficace. Attraverso l'analisi forense, è possibile individuare e neutralizzare le backdoor, i punti di accesso primari utilizzati dai criminali per penetrare nella rete aziendale e perpetrare le violazioni. Senza un'analisi accurata, qualsiasi tentativo di difesa rischia di essere incompleto e quindi inefficace.
Tuttavia, il ruolo preventivo dell'analisi forense va oltre la fase di risposta d'emergenza. Esaminare le modalità di violazione consente di identificare le vulnerabilità nella catena di sicurezza informatica e prendere provvedimenti correttivi.
Questo non solo rappresenta una pratica consigliata, ma è spesso richiesto dalle normative, come il GDPR, che prescrive un processo di valutazione dettagliato delle misure di protezione dei dati implementate dall'azienda. In questo modo, l'analisi forense non solo aiuta a mitigare le conseguenze degli attacchi informatici, ma contribuisce attivamente a rafforzare la sicurezza informatica aziendale nel suo complesso.
Il Team di esperti di DOGMA S.p.A. conduce investigazioni digitali su una vasta gamma di dispositivi informatici, inclusi smartphone, personal computer, server e tablet. Il nostro obiettivo principale è garantire l'integrità delle prove e tracciare ogni attività nel processo. La fase di acquisizione forense produce una replica esatta, nota come copia forense, della prova digitale, che costituisce la base della nostra perizia informatica forense. Tale perizia è finalizzata a presentare prove valide in contesti legali, sia civili che penali.
Un sito non basta a risolvere ogni dubbio e soprattutto a far fronte a tutte le necessità. Utilizza il form qui a lato o la CHAT per contattarci, prenotare un appuntamento e chiederci informazioni.