行政院國家資通安全會報於民國91年委託筆者從事我國資通安全鑑識科技能量規劃,其規劃內容分組織、訓練、技術、法律、處理程序及支援事項等六類,同時提出11項重要的規劃建置事項,經評估應優先建置為設立資通安全鑑識實驗室及數位證據蒐證標準作業程序(SOP),因此,行政院資通安全會報於民國92年延續此專案,進行建置我國資通安全鑑識實驗室之研究。
另外,行政院國家資通安全會報第二階段(94至97年)網路犯罪工作組也建議應建立我國國家資通安全鑑識實驗室,由於國內尚無正式的國家級資通安全鑑識實驗室,因此藉由參訪美國做為我國建置資通安全鑑識實驗室之借鏡,以有效打擊網路犯罪。
1.美國FBI鑑識實驗室(Regional Computer Forensic Laboratory, RCFL)(一)背景
位於San Diego,於2000年1月開始運作,是美國第一個成立的電腦鑑識實驗室,擁有最好的訓練及最先進的設備,處理證據也比任何單一的機構更有效率,因此成為建立類似實驗室的標準,是一個專業、多管轄區的單位,電腦鑑識調查人員分別從聯邦、州和當地的執法單位遴選適當人員擔任,負責聖地牙哥城市有關蒐集、記錄和分析數位證據的責任。美國國會曾指示FBI建立更多的橫跨城市的RCFL。
(二)組織編制(如圖1)
(圖一)
(三)服務
對於所有的需求服務必須透過RCFL服務需求表格遞交,有關提供的服務項目如下:
1. 協助有關搜查和扣押數位證據之搜證。
2. 現場的扣押和拍照。
3. 鑑識結果的複製和分析。
(四)訓練
提供執法人員專業的電腦基礎訓練,課程內容涵蓋如下:
1. 認識媒體儲存裝置。
2. 識別不同的作業系統。
3. 收集和保存數位證據。
4. 記錄和保護數位證據。
(五)小結
1. 這個實驗室成立得很早,目前有5個區域劃分,此實驗室並不是專屬於FBI,而是由20幾個單位的相關人員所組成,每個小組都有一個訓練協調員,協調訓練不同單位的相關人員彼此配合運作。
2. FBI很強調訓練,包括在職及新進人員的訓練,且為每個受訓人員提供一套完整的理論兼實務的課程。
3. 在組織編制成員都有「訓練協調者」這個職位,協調各單位有關訓練方面事宜。
4. 鑑定案件(Event)經提出申請後,由部門承接,以此作為分案與統計的依據,而鑑定程序各部門均是協調一致的。
5. 攜帶、保存實驗室裝備方面很詳細及齊全,例如外出鑑識需要攜帶哪些裝備等,都有規定,鑑定作業時所需的申請單、表格也很清楚,工具方面非常齊全。
6. 鑑識程序很重視Image,也就是先把硬碟拷貝一份,原來的保存好,以做為呈堂時法官採信的證據,再對Duplicate的一份做鑑識用。
7. 使用的工具為:Encase及FTK這兩套,程序方面沒有全部建立標準,所以有時還是需要依照經驗。
8. 教育訓練法官,證據力及證明力方面則透過警察或FBI人員的專業教育訓練法官,說服陪審團,未來國內應該多舉辦檢調人員及法官的訓練。
9. 專家證言,包括學術性專家及實務性專家,若法官能認同此專家的話,則所提出的證據必能被其接受,學術性專家包括學校教授等,實務性專家包括鑑定人員等。
10. 鑑識人員都是專任,因為經驗要長期累積,尤其鑑定人員需要有很強的專業能力。
2.美國Sacramento Valley Hi-Tech Crimes Task Force(一)背景
於1999年由犯罪司法計劃的基金贊助而成立,原從事司法管轄的調查,後轉為高科技的犯罪領域,是由33個執法人員和檢察官所組成,涵蓋了八個郡的區域執法單位及人員。
(二)服務
1. 偷竊:從事高科技製造業、企業和政府部門主要的電腦和元件偷竊、搶劫和貨物偷竊的調查。
2. 連線作業的犯罪活動:網際網路例如兒童色情圖片、金融犯罪、網路入侵、軟體剽竊和資料破壞的調查。
3. 電信詐欺:調查案例包括大哥大的複製和有線/衛星的非法接收。
4. 技術支援/電腦鑑識:技術的專家鑑定和幫助準備搜證、扣押電腦映像證據、破解密碼、檢查檔案、分析和拷貝電腦資料。
5. 訓練設計:小組定期為主管及調查人員訓練。
(三)小結
1. 這個單位屬於Sacramento州政府下的一個部門,由隊長擔任主任,中央、地方與基金會出資,不同單位派駐,經費也是來自各單位。
2. 該小組設有鑑識室、證據室、偵訊室、設備室、偵聽室及實驗室等,都有專人負責控制。
3. 案子接受流程為:先登記是什麼證物,證物放在證物室,分配給鑑識人員,分析報告,法官有異議時,鑑識人員應出庭,跟法官與陪審團說明。
4. 採用Case Law方式跟我們國家不一樣,至於專家證言倒是可以採用。
5. 檢察官長駐辦公室中,協助偵辦案件。
6. 提供原則是「設備如果是關著就不要隨便就打開,設備如果是開著就不要亂關」。