Menu szybkiego dostępu

Strona główna serwisu Gazeta Policyjna

Zabezpieczenie dowodów w sprawach CSAM. cz. I

W poprzednim artykule omówiliśmy procedury postępowania patroli interwencyjnych w sytuacjach, gdy podejrzenie popełnienia przestępstwa związanego z materiałami CSAM (Child Sexual Abuse Materials) pojawia się nieoczekiwanie – najczęściej podczas interwencji domowych z konfliktem partnerskim w tle. Tym razem skupiamy się na czynnościach funkcjonariuszy, którzy na etapie prowadzonego postępowania przygotowawczego stykają się z przestępczością związaną z posiadaniem i rozpowszechnianiem treści CSAM.

Niniejszy artykuł ma charakter poradnika, który porządkuje kluczowe zasady postępowania i wskazuje dobre praktyki pomocne przy zabezpieczaniu materiału w tego typu sprawach. W razie wątpliwości lub sytuacji niestandardowych warto opierać się na współpracy ze specjalistami, co pozwala ograniczyć ryzyko utraty danych i usprawni dalsze czynności.

Ustalenie sprawcy i miejsca przestępstwa

Gdy w toku prowadzonego dochodzenia lub śledztwa ustalenia operacyjne lub procesowe dostarczą danych uzasadniających popełnienie przestępstwa z art. 200 kk (seksualne wykorzystanie małoletniego) lub art. 202 § 3–4c kk (posiadanie, rozpowszechnianie lub produkcja treści pornograficznych z udziałem małoletnich), jest niezbędne precyzyjne zidentyfikowanie sprawcy i miejsca jego przebywania.

W wielu przypadkach punktem wyjścia jest ustalony adres IP, z którego rozpowszechniano materiały CSAM lub z którym powiązano posiadanie takich treści. Na podstawie danych uzyskanych od dostawcy usług internetowych możliwe jest dotarcie do konkretnej lokalizacji. Trudność pojawia się wówczas, gdy w danym miejscu przebywa kilka osób – w środowisku rodzinnym, miejscu pracy lub innej wspólnie użytkowanej przestrzeni. W takiej sytuacji konieczne jest ustalenie, która konkretnie osoba dopuściła się czynu zabronionego.

Rozpoznanie figuranta i jego otoczenia

Po wstępnym ustaleniu tożsamości podejrzanego zaleca się przeprowadzenie rozpoznania obejmującego weryfikację miejsc związanych z podejrzanym, czyli ustalenie głównego miejsca zamieszkania, dodatkowych miejsc pobytu (działka, domek letniskowy, inne mieszkania), miejsca pracy oraz prowadzenia innych aktywności. Pełne rozpoznanie wszystkich potencjalnych lokalizacji jest istotne z dwóch powodów. Po pierwsze, przestępca może wykorzystywać różne miejsca do różnych celów – produkcja nielegalnych materiałów może odbywać się w innej lokalizacji niż ustalone ich przechowywanie czy rozpowszechnianie. Po drugie, równoczesne przeprowadzenie przeszukań we wszystkich typowanych miejscach minimalizuje ryzyko zniszczenia dowodów po uzyskaniu przez podejrzanego informacji o działaniach organów ścigania.

Podstawy prawne prowadzonych czynności

Zgodnie z przepisami Kodeksu postępowania karnego prokurator prowadzący lub nadzorujący postępowanie przygotowawcze (art. 298 § 1 kpk) może wydać postanowienia o:

• przeszukaniu pomieszczeń lub innych miejsc (art. 219 kpk);

• zatrzymaniu osoby podejrzanej, jeżeli zachodzą ku temu przesłanki (art. 247 kpk).

Policjanci mogą dokonać zatrzymania osoby w trybie art. 244 kpk, gdy:

• istnieje uzasadnione przypuszczenie, że osoba popełniła przestępstwo i równocześnie zachodzi co najmniej jedna z poniższych przesłanek: zachodzi obawa ucieczki lub ukrycia się tej osoby, zachodzi obawa zatarcia śladów przestępstwa,
nie można ustalić tożsamości tej osoby, istnieją przesłanki do przeprowadzenia przeciwko tej osobie postępowania w trybie przyspieszonym;

• istnieje uzasadnione przypuszczenie, że osoba popełniła przestępstwo z użyciem przemocy na szkodę osoby wspólnie zamieszkującej, a zachodzi obawa, że ponownie popełni przestępstwo z użyciem przemocy wobec tej osoby, zwłaszcza gdy popełnieniem takiego przestępstwa grozi.

W przypadku zaistnienia przesłanek wynikających z art. 244 § 1b kpk zatrzymanie osoby jest obowiązkowe.

Każde zatrzymanie osoby przez Policję wymaga niezwłocznego zawiadomienia prokuratora (art. 244 § 4 kpk). W zależności od okoliczności może zajść konieczność doprowadzenia zatrzymanego do prokuratury. Obowiązek taki powstaje, gdy:

• prokurator zarządził przymusowe doprowadzenie (art. 247 § 1 kpk),

• prokurator planuje zastosowanie środka zapobiegawczego (art. 249 § 3 kpk),

• zachodzi konieczność wykonania z zatrzymaniem czynności procesowej zastrzeżonej wyłącznie dla prokuratora (art. 311 kpk).

Udział biegłych w czynnościach

Udział biegłych w czynnościach znacząco zwiększa skuteczność i bezpieczeństwo procesowe działań Policji, zwłaszcza w sprawach wymagających specjalistycznej wiedzy (informatyka śledcza, analiza materiałów, identyfikacja urządzeń i źródeł danych). Obecność ekspertów pozwala na szybkie rozpoznanie kluczowych nośników i usług, właściwy dobór metody zabezpieczenia oraz ograniczenie ryzyka utraty danych lub niezamierzonej modyfikacji dowodu. Przekłada się to na lepszą jakość materiału dowodowego, krótszy czas dalszych badań i mniejsze ryzyko błędów proceduralnych.

Biegły z zakresu informatyki śledczej

W przypadkach o wysokim stopniu skomplikowania technicznego, gdy istnieje podejrzenie wykorzystywania przez sprawcę zaawansowanych metod szyfrowania, wielowarstwowych zabezpieczeń lub nietypowej infrastruktury IT, na czas przeszukania jest zasadne powołanie biegłego z zakresu informatyki śledczej (art. 193 § 1 kpk) lub zapewnienie na miejscu działań wsparcia specjalisty z CBZC.

Wcześniejsze uzgodnienie obecności biegłego lub specjalisty na miejscu czynności pozwala na:

• profesjonalne zabezpieczenie skomplikowanych systemów informatycznych;

• uniknięcie błędów mogących prowadzić do utraty danych;

• przygotowanie przez biegłego odpowiedniego sprzętu i narzędzi;

• możliwość ograniczenia kosztów badań materiału dowodowego przez jego selekcję wstępną z wykorzystaniem live forensics i digital triage forensics;

• późniejsze efektywniejsze sporządzenie opinii, gdy biegły zna kontekst zabezpieczenia materiału.

Biegły z zakresu antropologii

Szczególnie wartościowe może się okazać powołanie biegłego antropologa (art. 193 § 1 kpk) jeszcze przed podjęciem czynności przeszukania, gdy:

• w toku czynności operacyjnych lub procesowych ujawniono materiały pornograficzne;

• istnieją wątpliwości co do wieku osób przedstawionych w materiałach;

• konieczne jest jednoznaczne potwierdzenie, czy materiały spełniają definicję CSAM.

Opinia biegłego antropologa pozwala funkcjonariuszom przystępować do czynności z pełną świadomością charakteru ujawnionych materiałów, co ma kluczowe znaczenie dla prawidłowego zakwalifikowania prawnego czynu, okreś-
lenia właściwego trybu postępowania oraz zabezpieczenia odpowiedniego zakresu materiału dowodowego.

Dokumentacja fotograficzna miejsca

Przeprowadzenie kompleksowej dokumentacji fotograficznej przeszukiwanego miejsca (art. 207 kpk) ma niejednokrotnie kluczowe znaczenie dla późniejszych ustaleń. Szczególną uwagę należy zwrócić na:

• układ i rodzaj mebli;

• kolor ścian, rodzaj tapet, podłóg, pościel lub narzuty na łóżka;

• specyficzne elementy wyposażenia (lampy, obrazy, dekoracje);

• ubrania lub jego elementy (rajstopy, paski);

• gadżety erotyczne;

• widoczne przez okna charakterystyczne punkty orientacyjne (drzewa, budynki, elementy krajobrazu itp.).

Szczegółowa dokumentacja miejsca pozwala później porównać je z tłem lub charakterystycznymi elementami widocznymi na zabezpieczonych materiałach CSAM. Gdy osoby na zdjęciach lub filmach są pokazane tylko częściowo i nie da się ich jednoznacznie zidentyfikować po cechach wyglądu, zgodność tła z konkretną lokalizacją może stać się kluczowym dowodem. Takie dopasowanie bywa decydujące dla pewnego powiązania materiałów z danym miejscem, a w konsekwencji – z konkretnym sprawcą i czynem.

Wstępna analiza na miejscu zabezpieczenia – live forensics i digital triage forensics

Live forensics i digital triage forensics przeprowadza się w celu wstępnej oceny sytuacji na miejscu zabezpieczenia, odzyskania danych ulotnych, które mogą zostać bezpowrotnie utracone po wyłączeniu urządzenia (np. zawartość pamięci RAM, aktywne sesje sieciowe czy odszyfrowany stan systemu plików), a także w celu podejmowania świadomych decyzji o zabezpieczeniu konkretnych dowodów cyfrowych – w tym o wyborze nośników podlegających zatrzymaniu i przekazaniu do dalszej analizy laboratoryjnej. Tego rodzaju działania umożliwiają szybkie podejmowanie decyzji operacyjnych: co zabezpieczyć w pierwszej kolejności, które nośniki mają kluczowe znaczenie dowodowe, a które z wysokim prawdopodobieństwem takiej wartości nie przedstawiają.

Działania z zakresu live forensics i digital triage forensics wymagają odpowiedniego zaplecza technicznego – w tym specjalistycznego oprogramowania i sprzętu – oraz udziału biegłych lub specjalistów posiadających kompetencje w dziedzinie informatyki śledczej. Przeprowadzenie takich czynności przez osoby nieposiadające stosownej wiedzy i doświadczenia grozi naruszeniem integralności danych, a w konsekwencji – utratą ich wartości dowodowej. Z tego względu decyzja o zastosowaniu tych metod powinna być każdorazowo poprzedzona oceną bilansu korzyści i ryzyk – wstępną analizę na miejscu zabezpieczenia prowadzi się wyłącznie wówczas, gdy spodziewane korzyści dowodowe wyraźnie przeważają nad ryzykiem utraty lub kontaminacji danych.

Live forensics polega na zabezpieczeniu i analizie danych z urządzeń pozostających w stanie aktywnym, bez ich wyłączania. Metoda ta pozwala na zachowanie danych przechowywanych wyłącznie w pamięci operacyjnej, które ulegają utracie po odłączeniu zasilania, a także na uzyskanie dostępu do zaszyfrowanych wolumenów i systemów plików przed ich zablokowaniem oraz na wczesną weryfikację zawartości nośników z zachowaniem integralności danych źródłowych.

Digital triage forensics stanowi naturalną kontynuację działań live forensics i polega na szybkiej ocenie oraz priorytetyzacji zabezpieczanego materiału. Umożliwia identyfikację i wyodrębnienie danych o najwyższej wartości dowodowej spośród dużych wolumenów informacji, wczesne wykluczenie z dalszego postępowania nośników nieistotnych dla sprawy, podejmowanie decyzji operacyjnych w czasie rzeczywistym na podstawie wstępnych ustaleń, a także redukcję zakresu pełnej analizy laboratoryjnej do wyselekcjonowanego materiału.

Zastosowanie obu metod w sekwencji pozwala organom ścigania na optymalizację procesu zabezpieczania dowodów cyfrowych – najpierw przez zachowanie danych ulotnych i uzyskanie dostępu do zaszyfrowanych systemów, a następnie przez racjonalną selekcję materiału wymagającego pogłębionej analizy laboratoryjnej. Takie podejście przekłada się również na ograniczenie kosztów postępowania oraz skrócenie czasu oczekiwania na końcową opinię biegłego lub specjalisty.

Wykorzystanie blokerów sprzętowych

Blokery zapisu sprzętowego to urządzenia zapewniające, że podczas podłączenia nośnika danych do komputera analitycznego nie dojdzie do żadnej modyfikacji jego zawartości. Działają one na poziomie fizycznym, uniemożliwiając przesyłanie sygnałów zapisu do nośnika z jednoczesnym zachowaniem możliwości odczytu.

Zastosowanie blokerów podczas live forensics pozwala na:

• bezpieczne przeglądanie zawartości dysków twardych, pendrive’ów i kart pamięci;

• weryfikację obecności materiałów CSAM bez ryzyka modyfikacji danych i metadanych;

• podjęcie uzasadnionej decyzji o zabezpieczeniu lub wyłączeniu nośnika z dalszych czynności.

Analiza telefonów i komunikatorów

Na miejscu przeszukania przegląda się wyłącznie te obszary, w których istnieje realne ryzyko szybkiej utraty danych lub ich zdalnego usunięcia (np. wiadomości znikające, czaty tymczasowe, ostatnie pliki, aktywne konta i sesje). Czynności te przeprowadza się również w celu weryfikacji ustaleń na wcześniejszych etapach postępowania, a także w celu ustalenia, która z osób przebywających w danej lokalizacji może być sprawcą przestępstwa lub mieć związek z czynem będącym przedmiotem postępowania. Każda czynność powinna być wykonywana minimalnie inwazyjnie, dokładnie dokumentowana (ekran po ekranie) i prowadzona w sposób niepowodujący nieodwracalnych skutków (np. blokady urządzenia po wielokrotnym wprowadzeniu błędnego kodu dostępu – PIN-u, hasła lub wzoru odblokowującego, wylogowania z aktywnych sesji czy nadpisania danych). Jeżeli nie ma pewności co do konsekwencji podejmowanych działań, bezpieczniej jest ograniczyć się do izolacji urządzenia i zabezpieczenia go do analizy laboratoryjnej.

W przypadku smartfonów live forensics obejmuje:

• przeglądanie zainstalowanych aplikacji komunikacyjnych pod kątem identyfikacji kanałów wymiany treści mogących stanowić dowód w sprawie;

• weryfikację prowadzonych rozmów i wymienianych plików, w tym załączników multimedialnych;

• ustalenie kontaktów z potencjalnymi pokrzywdzonymi, jeżeli takie osoby występują w sprawie;

• przeglądanie galerii zdjęć i filmów, w tym treści ukrytych – w wielu urządzeniach część multimediów może być przechowywana w albumach prywatnych, folderach aplikacji (np. komunikatorów), koszu, archiwum albo w sekcjach wymagających dodatkowej autoryzacji (oznaczanych jako „ukryte”, „zablokowane” lub „prywatne”); czynność tę wykonuje się po to, aby nie pominąć materiałów niewidocznych w standardowym widoku galerii, które mogą mieć najwyższą wartość dowodową; należy przy tym pamiętać, że aplikacje mogą automatycznie synchronizować lub porządkować multimedia, dlatego są konieczne zachowanie szczególnej ostrożności i bieżące protokołowanie, aby nie wywołać niezamierzonych zmian w danych;

• przeglądanie sejfu lub przestrzeni prywatnej użytkownika, jeśli została skonfigurowana – sejf to wydzielona, zabezpieczona przestrzeń w urządzeniu (funkcja systemu operacyjnego lub aplikacji zewnętrznej), w której użytkownik przechowuje pliki, zdjęcia, notatki lub aplikacje w sposób utrudniający ich przypadkowe ujawnienie; dostęp do sejfu bywa chroniony osobnym hasłem, kodem PIN, wzorem, uwierzytelnianiem biometrycznym albo dodatkowym kontem użytkownika, dlatego jego identyfikacja na miejscu pozwala ocenić, czy istotne dane mogą znajdować się poza standardowym widokiem systemu; jest to częste miejsce przechowywania treści, które sprawca chce ukryć przed domownikami lub innymi osobami postronnymi;

• identyfikację kont w serwisach społecznościowych i komunikatorach oraz weryfikację powiązanych z nimi aktywności.

Kluczowe jest wykonywanie tych czynności wyłącznie w obecności podejrzanego lub osoby, do której urządzenie należy, z dokładnym protokołowaniem wszystkich działań (art. 143 kpk).

Identyfikacja i zabezpieczenie urządzeń

Identyfikację i zabezpieczenie urządzeń przeprowadza się w celu możliwie szybkiego ustalenia, gdzie faktycznie mogą znajdować się dane istotne dla sprawy – materiały, konta, nośniki oraz ślady aktywności – a następnie zabezpieczenia ich w sposób zapewniający integralność dowodową. Istotne jest przy tym szersze spojrzenie na całą infrastrukturę IT obecną w danej lokalizacji – nie tylko na telefony i laptopy, lecz także na routery, urządzenia NAS, komputery multimedialne (HTPC – Home Theater Personal Computer), czyli komputer multimedialny pełniący funkcję centrum rozrywki domowej. Urządzenia te, ze względu na swoją formę, często przypominającą odtwarzacz multimedialny lub dekoder, bywają pomijane podczas przeszukań, choć posiadają pełną funkcjonalność komputera osobistego (w tym dysk twardy zdolny do przechowywania dużych wolumenów danych), nośniki zewnętrzne, karty pamięci, a także urządzenia peryferyjne mogące przechowywać dane lub rejestrować logi aktywności.

Jednocześnie należy zachować racjonalne podejście do zakresu zabezpieczanych urządzeń. Poniżej przedstawiono najczęściej zabezpieczane kategorie urządzeń i nośników danych w sprawach CSAM:

Telefony komórkowe (smartfony):

• podstawowe i obecnie najczęstsze źródło informacji w sprawach dotyczących CSAM – służą zarówno do komunikacji, jak i przechowywania materiałów;

• mogą zawierać aplikacje komunikacyjne z pełną historią rozmów, wymienianymi załącznikami oraz danymi geolokalizacyjnymi;

• często przechowują zdjęcia i filmy w pamięci wewnętrznej, na kartach SD lub w chmurze zsynchronizowanej z urządzeniem.
Komputery (laptopy i stacjonarne):

• większa pojemność dyskowa pozwalająca na przechowywanie obszernych kolekcji materiałów, w tym w ukrytych partycjach lub zaszyfrowanych wolumenach;

• zaawansowane oprogramowanie do obróbki zdjęć i filmów, a także narzędzia umożliwiające generowanie materiałów AIG-CSAM (AI-Generated Child Sexual Abuse Materials) z wykorzystaniem modeli LLM i generatywnych sieci obrazowych;

• aplikacje do wymiany plików w sieciach P2P, komunikatory desktopowe oraz przeglądarki z historią aktywności sieciowej.

Tablety:

• funkcjonalnie zbliżone do smartfonów, lecz ze względu na większy ekran często wykorzystywane do przeglądania i przechowywania materiałów multimedialnych;

• mogą zawierać odrębne konta użytkowników, osobne zestawy aplikacji oraz dane zsynchronizowane z innymi urządzeniami;

• w praktyce rzadziej niż na smartfonach spotyka się istotne w sprawie dane na tych urządzeniach, ze względu na współużytkowanie, jednak nie należy ich pomijać.

Konsole do gier (PlayStation, Xbox, Nintendo Switch i inne):

• wyposażone w przeglądarki internetowe, komunikatory głosowe i tekstowe oraz funkcje wymiany wiadomości prywatnych, które mogą służyć do nawiązywania kontaktu z małoletnimi;

• posiadają wbudowaną pamięć masową oraz obsługują nośniki zewnętrzne (dyski USB, karty pamięci), na których mogą być przechowywane pliki multimedialne;

• umożliwiają robienie zrzutów ekranu i nagrywanie wideo z rozgrywki, a dane te mogą zawierać istotne ślady aktywności;

• często pomijane podczas przeszukań, a mogą stanowić istotne źródło dowodowe, zwłaszcza w sprawach związanych z groomingiem.

Dyski zewnętrzne, pendrive’y i nośniki optyczne:

• często używane do tworzenia kopii zapasowych lub przenoszenia materiałów między urządzeniami;

• mogą być ukryte w nieoczywistych miejscach lub przechowywane poza główną lokalizacją;

• występują w nietypowych formach fizycznych (np. pendrive stylizowany na brelok, zegarek, długopis lub element biżuterii).

Sprzęt fotograficzny:

• cyfrowe aparaty fotograficzne i kamery wideo, w tym urządzenia kompaktowe, lustrzanki oraz kamery sportowe (np. GoPro);

• karty pamięci SD, microSD i CompactFlash – zarówno zamontowane w urządzeniach, jak i przechowywane osobno;

• drony wyposażone w kamery, które mogą zawierać materiały zarejestrowane z ich użyciem.

Urządzenia sieciowe:

• serwery plików NAS (Network Attached Storage), które mogą przechowywać duże wolumeny danych, w tym w konfiguracjach RAID utrudniających bezpośredni odczyt;

• routery z wbudowanymi dyskami lub portami USB umożliwiającymi podłączenie nośników zewnętrznych, a także przechowujące logi aktywności sieciowej;

• urządzenia do automatycznego tworzenia kopii zapasowych (np. dedykowane stacje backupowe).

Inteligentne urządzenia domowe i Internet Rzeczy (IoT – Internet of Things):

• inteligentne głośniki, asystenci domowi (np. Amazon Echo, Google Home) oraz inteligentne telewizory (Smart TV) – mogą przechowywać historię wyszukiwań, logi głosowe oraz dane o aktywności użytkownika;

• kamery monitoringu domowego i rejestratory (DVR/NVR), które mogą zawierać nagrania istotne dla ustalenia przebiegu zdarzeń;

• urządzenia te mogą również dostarczać pośrednich informacji o obecności i aktywności osób w lokalizacji w określonym czasie.

Smartwatche i urządzenia ubieralne (wearables):

• rejestrują dane z czujników biometrycznych i ruchowych (akcelerometr, żyroskop, pulsometr, GPS), które pozwalają na odtworzenie aktywności fizycznej użytkownika w określonym czasie i miejscu – w tym ustalenie, czy osoba przebywała w konkretnej lokalizacji, przemieszczała się lub wykonywała określone czynności;

• przechowują powiadomienia, wiadomości i połączenia przychodzące z powiązanego smartfona, co może dostarczać pośrednich dowodów na prowadzoną komunikację, nawet jeśli dane na telefonie zostały usunięte;

• dane z czujników zdrowotnych (tętno, poziom stresu, jakość snu) mogą pośrednio potwierdzać lub wykluczać wersje zdarzeń przedstawiane przez podejrzanego – np. podwyższone tętno w określonym czasie lub brak aktywności snu w godzinach deklarowanego odpoczynku;

• synchronizują dane z aplikacjami chmurowymi (np. Google Fit, Apple Health, Samsung Health, Garmin Connect), co oznacza, że nawet po usunięciu dane z urządzenia mogą pozostawać dostępne na serwerach producenta lub w powiązanym koncie użytkownika.

Powyższy katalog nie stanowi zamkniętej listy urządzeń i nośników podlegających zabezpieczeniu. Dynamiczny rozwój technologii sprawia, że stale pojawiają się nowe kategorie sprzętu zdolnego do przechowywania, przetwarzania lub transmisji danych, dlatego osoby przeprowadzające czynności powinny zachować otwartość na nietypowe źródła dowodowe, których obecność w danej lokalizacji może nie być oczywista na pierwszy rzut oka. Specyfika urządzeń wykorzystywanych przez podejrzanego w znacznej mierze zależy od wykonywanego przez niego zawodu oraz zainteresowań. W przypadku osób związanych zawodowo z branżą informatyczną należy zachować szczególną czujność i zwrócić uwagę na nietypowe urządzenia – w tym sprzęt sieciowy o zaawansowanej konfiguracji, serwery domowe, mikrokomputery (np. Raspberry Pi), urządzenia ukryte lub wmontowane w elementy wyposażenia, a także nośniki danych w niestandardowych formach fizycznych.

podkom. Michał Leski, Centralne Biuro Zwalczania Cyberprzestępczości, Zarząd w Krakowie

Tomasz Sidor biegły sądowy z zakresu informatyki śledczej, Instytut Antrotech

Amanda Krać-Batyra biegły sądowy z zakresu antropologii, Instytut Antrotech