أ. محمد بن متعب عسيري
عضو هيئة التدريس بكلية الملك فهد الأمنية وقائد معمل الدليل الرقمي
الإجراءات القياسية هي الخطوات والقيود والدليل للعمل في أي منظومة. وفي المعامل الجنائية تعد هذه الإجراءات من أهم المكونات التي تضمن العمل بشكل صحيح. ولا سيما أن المخرج دائماً ما يكون مرتبطاً بجهة قضائية قد تعتد بالدليل المعطى أو تقوم بإقصائه إذا ما كان هناك خلل واضح في أحد الإجراءات المتبعة في التحقيق. وفي عصر تكنولوجيا المعلومات فإن الأدلة الرقمية تعتمد وبشكل مباشر على الإجراءات القياسية لتحقيق المصداقية. ويعود ذلك لطبيعة الأدلة الرقمية، حيث إنها عبارة عن بيانات رقمية ذات خصائص مختلفة كلياً عن الأدلة التقليدية. سنتحدث في هذا المقال عن طبيعة الأدلة الرقمية، وماهي الإجراءات الصحيحة والقياسية للتعامل معها؟
في العصر الحالي باتت الجريمة التقليدية لا تخلو من دليل رقمي غالباً ما يكون محرزاً ومعززاً للقرارات المتخذة من الجهات القضائية. وبمعنى أبسط وأوضح فإنه لا يخلو أي مسرح جريمة من دليل رقمي مهما كانت نوعية الجريمة وتداعياتها. والسبب في ذلك يعود إلى الاستخدام الهائل لتقنية المعلومات في كل أنماط الحياة، وفي جميع الأدوات والمكونات التي يستخدمها البشر. فالتقنية الآن موجودة في المحفظة الخاصة بالأشخاص أو الهاتف المتنقل، كذلك يمكن إيجادها في الملحقات الأخرى مثل الساعات الرقمية الذكية. وتزامناً مع هذا التواجد الضخم للتقنية نجد أن المحرك الرئيسي لها وهو الإنترنت والاتصال أصبح منتشراً في كل منطقة وبسرعات عالية، مما أدى إلى التواصل المستمر في نقل البيانات. جميع هذه العوامل أبرزت دور الأدلة الرقمية في الجرائم الحالية، مما يقتضي تعاملاً خاصاً مع هذه النوعية من الأدلة، ويتطلب إجراءات قياسية متبعة لتنظيم آلية التعامل معها، وكيفية التحقق منها، وإبرازها بشكل صحيح للجهات القضائية.
وقبل أن نقوم بسرد الإجراءات القياسية للتعامل مع الأدلة الجنائية الرقمية يجب أن نوضح بعض مميزات الأدلة الرقمية وماهيتها. فالدليل الرقمي هو أي ملف إلكتروني يتم العثور عليه ضمن إجراءات تحريز الأدلة في مسرح الجريمة المرتبطة بقضية معينة، وهي لا تعدو أن تكون في أحد الأشكال الأربعة التالية، وهي الملفات الصوتية والفيديو والصور وكذلك الملفات النصية. وهنا يجب أن ننوه إلى أن الدليل الرقمي له خصائص تميزه عن الأدلة الأخرى وهي:
1- قابل للنسخ: فيمكن نسخ الدليل الرقمي عن طريق برامج معينة أو بواسطة أجهزة خاصة للنسخ، مما يمنح مزيداً من الفاعلية في عملية توزيع الدليل على أكثر من جهة لعمل الفحوص اللازمة لاستخراج الأدلة. ولكن هذا لا يعني أن النسخ يتم بطريقة عشوائية، بل يجب أن يتم النسخ بطريقة احترافية وبواسطة أدوات وبرامج تضمن عدم التغيير في الدليل المنسوخ منه، وتقوم بعمل تأكيد على المطابقة بين الناسخ والمنسوخ بحساب القيمة الهامشية التي يتم احتسابها بعمليات رياضية معينة، للتأكد من عملية التطابق التام.
2- متطاير: وهذا تحد كبير جداً للأشخاص الذين يقومون بتحريز الدليل الرقمي، فمن مميزات الأدلة الرقمية أنها من الممكن أن تتلاشى بانقطاع التيار الكهربائي، لذا وجب على المباشرين لعمليات جمع الأدلة الحرص والانتباه، وتوثيق حالة الأجهزة فور استلامهم لموقع مسرح الحادث. كما يجب أن يقوموا بنقل الأجهزة التي تحتوي على الأدلة الرقمية بشكل صحيح يضمن وصولها ووصول البيانات التي تحتويها بشكل سليم للمعامل المتخصصة، وذلك للقيام لاحقاً بعملية النسخ، مما يضمن عدم فقدان الأدلة.
والخصائص أعلاه ليست الوحيدة ولكنها الأكثر تأثيراً، ولها دور أساسي في تحديد الأطر والمنهجيات المتبعة في إعداد الإجراءات القياسية للتعامل مع الأدلة الرقمية.
وبالحديث عن الإجراءات القياسية التي يتم اتباعها في معامل الأدلة الجنائية الرقمية فهي مختلفة ومتنوعة، حيث إن لكل بلد إجراءاته الخاصة، بل إن لكل منظمة خطوات رئيسة للتعامل مع الأدلة الرقمية يتم تطبيقها، للتأكد من سلامة الإجراءات المتبعة في مراحل التحقيق. كما يوجد منظمات دولية تقوم بعمل السياسات والإجراءات القياسية للتعامل مع الأدلة الجنائية الرقمية، ومن الأنظمة المعمول بها في مجال الأدلة الجنائية الرقمي نظاماً ADAM و SRDFIM.
وجميع الإجراءات والخطوات المتبعة في معامل الأدلة الرقمية هدفها الرئيسي هو المحافظة على عجلة ملكية الدليل أو ما يسمى بالـ Chain of Custody والتي من خلالها يتم توثيق كل إجراء تم القيام به على الدليل. والإجراءات القياسية بالمجمل هي كما يلي:
1- التقييد (Seizure): وتعني المحافظة على الأدلة الرقمية في مسرح الحادث، وعدم تعريضها للتغيير أو النقل أو المسح، ويتم ذلك باستخدام حقائب مخصصه تسمى Faraday bags ووظيفتها هي حماية الدليل او الجهاز الذي يتم نقله من فقدان البيانات أو محاوله اختراقة وتعديل المحتويات بل انه في بعض الحالات من الممكن الدخول عن بعد على الاجهزة المتنقلة ومسح محتوياتها. لذلك يعد استخدام الحقائب والحاويات الحافظة هو من اهم الاجراءات الضرورية للتعامل مع الادلة الرقمية. كما يجب التأكد من المحافظة على الاجهزة وحمايتها من انقطاع التيار الكهربائي في حاله انها وجدت على وضع التشغيل حيث ان الاغلاق قد يودي الى فقدان الأدلة او عدم القدرة على تشغيل الاجهزة مره اخرى.
2- الاستخلاص والنقل (Acquisition): وتعني عملية استخراج الأدلة الرقمية من الأوعية الإلكترونية التي تحويها. وعملية الاستخلاص ليست مجرد اجراء نسخ للملفات او المحتويات الى اجهزة اخرى ولكن يتم انشاء دليل جديد او قرص صلب جديد مطابق للأصل يتم التعامل معه وكأنه هو الدليل الاصلي حيث ان النسخة الجديدة متطابقة تماما مع الاصل ويتم التأكد من محتوياتها بحساب القيمة الهامشيةHash Value للأصل والنسخة للتأكد من عدم وجود بت Bit واحد اضافي. وهذا يمنح الدليل المنسوخ الصبغة القانونية لكي يتم اعتماده لدى الجهات القانونية. كما يوجد نوع اخر من استخلاص البيانات وهو الخاص بمحتويات الذاكرة العشوائية Random Access Memory حيث انه من المعلوم ان بيانات الذاكرة العشوائية متطايره ويتم فقدانها بمجرد انقطاع المصدر الكهربائي لذلك يتم اخذ صورة من محتويات الذاكرة العشوائية كأحد الاجراءات الاولية المهمه ويسمى الاجراء ب Memory Dump.
3- الفحص والتحليل (Analysis): وفي هذه المرحلة يتم فحص الملفات المستخلصة من الأجهزة، وإيجاد الأدلة التي لها ارتباط بالقضية والأدلة المساعدة في اتخاذ القرار من قبل السلطات القضائية. ويتم الفحص من خلال برامج متطورة ومعتمدة في المحاكم الدولية كبرامج موثوقة لفحص الأدلة الجنائية الرقمية مثل برنامج Encase وFTK أو برنامج XRY و Cellebrite لفحص مكونات الأجهزة المحمولة. ويوجد نوعان من الفحص او التحليل. أحدهما هو الفحص المنطقي لمحتويات الوعاء الالكتروني ونعني هنا انه يتم البحث عن الملفات المحفوظة والتي يمكن معرفتها عن طريق نظام التشغيل مباشرة. والاخر هو البحث الفيزيائي ويتم من خلاله فحص جميع البيانات الموجوده في القرص الصلب متضمنه المناطق التي يتم تجاهلها من قبل نظام التشغيل وتسمى fragment Space وتحتوي على بيانات واجزاء من ملفات قديمة تم مسح جزء منها او الكتابة عليه على هيئة ملفات جديدة. وتحتوي غالبا على معلومات مهمه.
4- التقرير (Reporting) وهي المرحلة النهائية التي يتم من خلالها إعداد تقرير تفصيلي سهل القراءة والفهم يحتوي على الأدلة الجنائية الرقمية التي تم إيجادها مدعمة بشرح توضيحي لأهميتها في القضية وعلاقتها بتحديد ملابسات الجريمة.
ومما سبق يتضح أهمية الأدلة الرقمية في الوقت الراهن ودورها المفصلي في تحديد واكتشاف العدد من خفايا الجرائم والقضايا التي تتم في العصر الحالي. كما اتضح أهمية وجود الإجراءات الواضحة التي تساعد المختصين في مجالات التحقيقات الجنائية الرقمية في تطبيق مفهوم التحقيقات بشكل صحيح ويتلاءم مع النظام الجنائي والقضائي.
نُشرت المقالة في العدد السادس من مجلة المجموعة العلمية لعلوم الأدلة الجنائية
