Za kradzież kurtki grozi nawet 12 lat więzienia. Za włamania do komputera i przejęcie danych, maksymalnie dwa lata. Nie ma się co dziwić, że cyberprzestępstw jest coraz więcej.
/>
/>
Gdy wchodziłam do pańskiego biura, to powiedział mi pan, że jeden z podejrzanych właśnie dokonuje ataku...
Jeszcze nie podejrzany. Ale pewnie przyszły podejrzany. Jak tylko zgromadzimy wystarczające dowody, to będzie można postawiać mu zarzuty. Na razie mamy informacje o ataku, którym zapewne niedługo się zajmiemy bardziej szczegółowo od strony procesowej.
To teraz wyjaśnię, gdzie jestem. W warszawskiej prokuraturze okręgowej, w dziale do walki z cyberprzestępczością – jedynym takim, przynajmniej na razie, w kraju. Jest XXI w., internet dawno stał się powszechnym, a pracuje tu tylko czterech prokuratorów. Wystarcza?
Ależ skąd. Nasza szefowa nie dość, że kieruje wydziałem, to jeszcze prowadzi kilka najbardziej pracochłonnych oraz najpoważniejszych spraw. Z racji tego, że była tu przez pewien czas jedyna i dopiero budowała zespół, to jej sprawy są na największym stopniu zaawansowania. Nasz wydział to program pilotażowy, pierwszy taki zespół w strukturach prokuratury, choć podobne mają być we wszystkich okręgach. Dziś w Prokuraturze Krajowej oraz każdej prokuraturze regionalnej są koordynatorzy ds. cyberprzestępczości. To osoby, które starają się rozdzielać prace. Bo to, że jest tylko jeden wydział cyber, nie oznacza, że okręgówki nie zajmują się takimi sprawami. My przejmujemy tylko te, które są w naszej właściwości lub zostają do nas przesłane z prośbą o przejęcie.
To iloma sprawami zajmuje się teraz cały wydział?
Ponad 50. Może się wydawać, że to niewiele, ale to tylko takie, które są duże, dotyczą wyłudzeń na znaczne kwoty, o skomplikowanym modus operandi, to też ataki o takim zasięgu, że prokuratury rejonowe nie są w stanie sobie z nimi poradzić. Codziennie dostajemy kilka wniosków z całego kraju o przejęcie śledztw, ale ostatecznie trafia do nas tylko kilka nowych spraw miesięcznie. Ale i tak jesteśmy przeciążeni. Tylko moje sprawy to ok. 300 tomów akt. Proszę spojrzeć na te szafy w biurze, one nie mieszczą nawet ich drobnej części. W pokojach moich kolegów jest identycznie. Co więcej, to wszystko właściwie są sprawy międzynarodowe. Internet nie ma granic, normą jest wykorzystywanie przez przestępców wszelkich możliwych metod kamuflowania miejsca, z którego działają. Może nam się więc wydawać, że atak jest prowadzony z Berlina czy Mediolanu, a rzeczywiste miejsce działania sprawcy to budynek naprzeciwko.
A pan dużo spraw prowadzi?
Kilkanaście, zaraz sprawdzę ile. Już – dokładnie 15. Ale w porywach bywało nawet i 20. Ich przekrój jest spory. Są wśród nich przestępstwa typowo komputerowe, jak ataki DDoS (zasypanie sieci komputerowej ofiary, np. banku, tak wielką liczbą zapytań, że jej działanie ulega zawieszeniu – red.), ransomware (szkodliwe oprogramowanie, które uniemożliwia dostęp do zasobów komputera, a za zdjęcie blokady żąda okupu – red.) czy phishing (podszywanie się pod inną osobę lub instytucję w celu wyłudzenia newralgicznych danych, np. numeru karty kredytowej – red.), ale też kwestie łamania praw autorskich czy oszustwa typu nigeryjskiego.
Nigeryjskiego? To jeszcze ktoś się daje na to nabrać? Przecież ten sposób wyłudzeń jest wyjątkowo prostacki.
Oczywiście, że się nabieramy. To wciąż jeden z najpopularniejszych cyberprzekrętów, choć już bardzo wiekowy. Tylko nam się wydaje, że jesteśmy tacy mądrzy, że przecież nikt nie da sobie wmówić, że czeka na niego spadek afrykańskiego króla. Ale na 10 osób, które otrzymały e-maila napisanego kaleką polszczyzną, co najmniej kilka daje się oszukać.
Może to kwestia niskiej świadomości technologicznej Polaków?
Tak mi się kiedyś wydawało, że to może być rzeczywiście związane z naszą łatwowiernością, z brakiem wiedzy o nowych typach zagrożeń, a tym samym o sposobach obrony przed nimi, ale dziś mam wrażenie, że jest to związane z zupełnie indywidualnymi czynnikami. Niektóre osoby po prostu są łatwiejsze do oszukania. Nie ma reguły.
Może to jest kwestia ogromnej biegłości socjotechnicznej używanej przez przestępców? Coraz bardziej wyrafinowanej formy tych e-maili, lepszych pomysłów na oszustwo?
Przeciwnie. Do niedawna wystarczyły e-maile tłumaczone z angielskiego na polski internetowym translatorem, tak kulawe, że na pierwszy rzut oka powinny wzbudzać podejrzenia. Teraz zaś rzeczywiście pojawiają się znacznie bardziej wysublimowane sposoby: podszywanie się pod konkretne instytucje, tworzenie wiarygodnie brzmiących historii, wysyłanie e-maili, które są napisane poprawną polszczyzną. Po prostu trafiają one na ludzi, którzy albo są niezwykle ufni, albo wierzą w to niebywałe szczęście, jakie im się trafiło, że nie włącza im się żaden wewnętrzny sygnał alarmowy.
Jakie jeszcze sprawy do was trafiają?
Nasi przełożeni starają się filtrować sprawy i przypisywać wydziałowi tylko takie, które faktycznie potrzebują specjalnego prowadzenia. Tak jak choćby sprawa ataku na Komisję Nadzoru Finansowego, do której doszło kilka miesięcy temu – przestępcy wstrzyknęli złośliwe oprogramowanie w kod internetowej strony KNF i ta infekowała komputery osób, które z niej skorzystały. Tę sprawę prowadzi moja szefowa. Jest to sprawa bardzo rozwojowa. Z pewnością jest to dobry przykład sprawy, której czas trwania to nie kilka tygodni śledztwa.
A ataki Petya, ransomware, który pod koniec czerwca najpierw uderzył na Ukrainie, ale które dotknął także polskie instytucje? Także je badacie?
Jeszcze nie. Aczkolwiek finalnie pewnie też do nas trafią. Jak każda większa, skomplikowana sprawa.
Jak wygląda prowadzenie cyberśledztwa?
Zaczyna się, jak w każdej innej sprawie, od wpłynięcia informacji stanowiącej zawiadomienie o popełnieniu przestępstwa. Potem ta trafia do cyberwydziału Komendy Głównej Policji lub do wydziału cyber w konkretnej komendzie wojewódzkiej – i tam są operacyjnie prowadzone. Niestety tylko operacyjnie, a nie procesowo. Wyniki pracy operacyjnej najczęściej są omawiane w naszym wydziale, a następnie staramy się wiedzę operacyjną przełożyć na proces.
To jest jakaś różnica między operacyjnym i procesowym wydziałem w policji?
Jak między koniem a koniakiem. Policjant procesowy pracuje tak, by wszystkie jego czynności mogły być wykorzystane w sądzie. Każde jego działanie stanowi czynność procesową mającą tryb i odpowiedni protokół. Operacyjni działają w terenie, zbierają dowody, stosują podsłuchy czy wykorzystują obserwacje, ale wszystko, co wytworzą, nie nadaje się do procesu. Zebrane przez nich materiały muszą zostać odpowiednio przetworzone przez policjantów procesowych i prokuratorów i w ten sposób dopiero wprowadzone do postępowania. Policjanci operacyjni są szybsi w zdobywaniu wiedzy, ponieważ do ich pracy nie są wymagane aż tak daleko posunięty formalizm i biurokracja.
Przecież przy wszystkich wojewódzkich komendach policji działają już wydziały ds. cyberprzestępczości. To za mało?
Ale to wydziały operacyjne. Nie ma ani jednego procesowego. Z kolegami z działu staramy się ratować sytuację, wyłuskując pojedynczych policjantów z wydziałów operacyjnych. Ale jest ich wciąż zbyt mało.
Dlaczego?
To zdecydowanie nie jest pytanie do mnie.
Ale prokuratura, szczególnie wydział ds. cyberprzestępczości, alarmuje, że potrzebuje więcej ludzi?
Oczywiście. Od roku prosimy o przydzielenie przynajmniej kilku procesowych policjantów z komendy stołecznej. Takich, którzy zajmowaliby się wyłącznie sprawami cyber. Nie takich, którzy będą robić przy okazji alimenty, wykroczenia czy kradzieże. W przypadku cyberprzestępstw jest za dużo pracy, by policjant się od niej odrywał, rozpraszał i zmieniał co chwilę tematykę. Teoretycznie nie byłoby problemu z ich wykształceniem, bo szkoła policji w Szczytnie prowadzi świetne warsztaty. To, że nie mamy procesowych funkcjonariuszy przeznaczonych do pracy przy zwalczaniu cyberprzestępczości, de facto nie mamy z kim pracować, jest największym problemem, który nam utrudnia sprawne działania.
No dobrze, a jak już trafi do prokuratury zawiadomienie o popełnieniu przestępstwa, to co się dzieje dalej?
To często jest o wiele za mało, by wszczynać postępowanie karne. Gdy mamy do czynienia z phishingiem czy atakiem DDoS, jest rzeczywiście ogromne prawdopodobieństwo, że do przestępstwa doszło. Często jednak problemy cyber wcale nie są przestępstwami. Na przykład gdy w masowej skali nie dochodzą przesyłki do klientów sklepu internetowego, to wcale nie musi jeszcze oznaczać oszustwa. To równie dobrze może być problem z technologią lub po prostu sklep ma kłopoty, być może upadł. Trudno tu mówić o przestępstwie, bo aby to zaistniało, muszą być: celowość, zamiar złamania prawa i oszukania ludzi oraz przysporzenie sobie korzyści majątkowej. Na początkowym etapie najczęściej staramy się uzyskać jak najwięcej informacji o samym zdarzeniu, aby móc je w jakikolwiek sposób ocenić. To robimy najczęściej w ramach czynności sprawdzających. Następnie, gdy już zyskamy na tyle dużo informacji, że mamy podejrzenie, iż doszło do złamania przepisów karnych, trzeba się zastanowić, jak ugryźć temat. Jakie czynności należy podjąć i jakie mogą być wyniki tych czynności? Gdzie one będą prowadzone – w Polsce czy za granicą? W jaki sposób możemy uzyskać konkretne informacje. Z jaką służbą będziemy prowadzić daną sprawę. To żmudna praca, która wymaga przewidywania kilku kroków naprzód.
Najstarsza z pana kilkunastu spraw jak długo się ciągnie?
Od 2015 r.
To nie jest taka stara.
Proszę pamiętać, że nasz dział powstał rok temu.
Które ze spraw są najtrudniejsze? Takie, których nikt z prokuratorów nie chce brać?
Tu odpowiedź nie jest prosta. Wszystko zależy od indywidualnych upodobań konkretnego prokuratora. Dodatkowo na poziom trudności sprawy wpływ mają metody działania sprawcy i okoliczności popełnienia przestępstwa. Ja lubię sprawy, w których jest przynajmniej cień szansy na jej rozwikłanie. To motywuje do działania. Bardzo nie lubię takich, w których od początku już jest niemalże jasne, że nie mamy szans, że to klasyczna sprawa, gdzie nie uda nam się wykryć sprawcy. To bardzo często widać po metodzie działania przestępcy. Jeżeli zasłoni się choćby prostą aplikacją zmieniającą numery IP, to już mamy poważne problemy. Dodatkowo jeżeli mamy do czynienia z osobą używającą sieci TOR, wykorzystującą tzw. trasowanie cebulowe (jak działa sieć TOR, pokazaliśmy na infografice w Magazynie DGP 4/2016 – red.), że ukrywa się za kolejnymi serwerami proxy, serwerami pośredniczącymi, to sytuacja robi się niezwykle trudna. Wtedy staramy się wykorzystywać alternatywne metody namierzania: follow the money, śledzenia przepływów pieniężnych, kontaktów telekomunikacyjnych, osobistych i wiele innych. Ale robi się naprawdę bardzo skomplikowanie.
Dołujące. A pan wcześniej prowadził sprawy dotyczące cyberprzestępstw, że trafił do wydziału?
I tak, i nie. Skala spraw, które teraz prowadzę, to dla mnie nowość, choć tematyka była mi znana. Ale jeszcze kilka lat temu tego typu spraw było o wiele mniej. To kwestia ostatnich 2–3 lat, gdy ich liczba się radykalnie zwiększyła.
Skąd taki wysyp?
Z powodu łatwości popełnienia takiego przestępstwa i konsekwencji jego popełnienia. Proszę sobie wyobrazić, że za rozbój, kradzież 500 zł, komórki czy kurtki grozi nawet 12 lat pozbawienia wolności. Za włamanie z wykradzeniem pakietu danych o wartości kilkunastu lub kilkudziesięciu tysięcy złotych, maksymalnie zaś dwa lata. Łatwość, niskie zagrożenie karą, a do tego jeszcze niewielka inwestycja potrzebna na początek...
Czyli jak z każdym e-biznesem: niski próg wejścia.
Dokładnie. W porównaniu z oszustwami w realu to bardzo tania „inwestycja”, wystarczy zrobić stronę internetową. Nie trzeba inwestować w całą otoczkę.
Jaką najbardziej zaskakującą sprawę teraz pan prowadzi?
Muszę dosyć ogólnie mówić, bo to sprawa w toku, ale to postępowanie w sprawie czegoś, co jest ewolucją oszustwa nigeryjskiego. Jednak zarówno skala – chodzi o pieniądze oraz olbrzymią ufność pokrzywdzonego – jak i sposób działania sprawców jest naprawdę wyjątkowy. To miliony złotych wyłudzone od jednej osoby. Sprawcy użyli silnie emocjonalnych zagrywek i pojawiło się coś, z czym wcześniej nie miałem do czynienia: kontakt telefoniczny sprawcy z ofiarą. I to wielokrotny. Same zaskoczenia. Bardzo ciężko jest tu zgromadzić materiał dowodowy, bo sprawca czy sprawcy są bardzo profesjonalni i do tego działają ponadgranicznie, wykorzystując najnowocześniejsze technologie.
Czyli trzeba działać globalnie. Są z tym problemy czy jak na filmach śledczy z jednego państwa kontaktują się z tymi z innego i od ręki dostają informacje o niebezpiecznym hakerze?
Na poziomie operacyjnym być może tak wygląda taki przepływ informacji, ale prokuratura działa inaczej, bo obligują nas przepisy. Największym problemem jest formalizm. Inaczej jest w Hiszpanii czy Wielkiej Brytanii, a inaczej w Polsce. W Hiszpanii prokurator jest oskarżycielem, a odpowiednikiem prokuratora w naszym zrozumieniu jest sędzia śledczy. Ja, by przesłuchać świadka, potrzebuję masy papieru, pouczeń, protokołów i załączników, a mojemu koledze w Irlandii wystarczy czysta kartka i długopis – spisuje, podpisuje i zrobione. Te różnice wychodzą przy wszelkiego rodzaju przestępstwach transgranicznych. Tyle że w sprawach cyber prawie wszystkie są takie, a pomocy czy informacji potrzebujemy natychmiast, a tu biurokracja potrafi trwać miesiącami. Koledzy z Danii, z którymi miałem przyjemność współpracować, w ogóle nie byli w stanie uwierzyć, że my jeszcze prowadzimy akta papierowe, bo u nich wszystko już w formie cyfrowej. Te różnice utrudniają i opóźniają prace. Przy współpracy międzynarodowej musimy również stosować się do zasady wzajemności. Jeżeli jakiś czyn, który u nas jest przestępstwem, a w kraju, z którym chcemy nawiązać współpracę, nie jest, to w tym momencie kończy się współdziałanie w tej konkretnej sprawie. Czynnikiem utrudniającym współpracę jest też zasada oportunizmu stosowana w wielu krajach. Nie jest jednak tak źle. Staramy się współpracować i najczęściej jednak otrzymujemy żądane informacje.
A może łatwiej jest w kontaktach z gigantami, z globalnymi firmami świadczącymi usługi sieciowe? One mają wszystkie dane o swoich klientach w formie cyfrowej i tak uporządkowane, że dostęp do nich jest właściwie automatyczny.
Niestety nie. W kontaktach z takimi globalnymi graczami jest jeszcze inna skala problemów, bo oni nie mają obowiązku z nami współpracować. Proszę pamiętać, że to podmioty zagraniczne. Staramy się – choć robimy to na piechotę – w jakikolwiek sposób unormować te kontakty. Są kraje, które podpisały memoranda w sprawie współpracy z takimi gigantami jak Google, Facebook, Apple czy Microsoft. My idziemy raczej ścieżką praktycznego dogadania się z nimi, wypracowania mechanizmów bezpośrednio podczas prac nad konkretnymi sprawami. Poważnym problemem są przepisy, które nie przewidują pewnych działań. Na przykład polskie prawo nie uznaje oficjalnych kontaktów, które nie są realizowane przy pomocy urzędowych pism. Zagraniczne firmy jednak oczekują, że będziemy się z nimi kontaktować za pomocą internetowych formularzy. Ponieważ taką formę kontaktu mogą podejmować funkcjonariusze policji, to staramy się wykorzystywać tę ścieżkę. Trzeba przyznać, że na nasze pisma przesyłane tą drogą firmy reagują błyskawicznie. Błyskawicznie, czyli w przypadku Facebooka czy Google’a trwa to około tygodnia do dwóch. Może się wydawać, że to długo, ale to naprawdę szybkie działanie. Choć jeszcze nieoznaczające pozytywnego rozpatrzenia wniosku, a jedynie to, że podjęto działania. To już jednak dla nas jest często sygnałem do kolejnych kroków. To, czy odpowiedź ostatecznie zostanie pozytywnie rozpatrzona i czy dane, o które wnioskujemy, do nas trafią, zależy od naprawdę wielu czynników. Nie jest jednak tak, że technologiczni giganci współpracują tylko w kwestiach związanych z zagrożeniem życia. Pomagają również przy innych sprawach, ale muszą być one bardzo dobrze uzasadnione, by czuli się do współpracy zobligowani. To są np. kwestie wyłudzeń o wysokiej skali.
Przydałyby się jakieś zmiany w prawie, by takie kontakty ułatwić?
Byłoby bardzo wskazane, by przepisy pozwalały nam mniej formalnie, właśnie w postaci elektronicznej, dostarczać wnioski. To kluczowe do wypracowania dobrych kontaktów z globalnymi firmami. Przecież to są przedsiębiorstwa zagraniczne i nie mają obowiązku honorować polskich przepisów. Możemy oczywiście wysłać zapytania do służb Stanów Zjednoczonych z prośbą o pomoc, ale tu czekanie na odpowiedź czasem zajmuje miesiące i też nie zawsze jest szansa na pozytywną odpowiedź. Amerykański system prawny opiera się na zasadzie oportunizmu: a więc mówiąc najprościej – jeżeli warto – to się robi, jeżeli nie warto – to się nie robi. W przeciwieństwie do naszego systemu legalizmu, w którym wystarczy, że przyszedł wniosek i trzeba na niego zareagować. Ale same amerykańskie władze też nie mają unormowanego statusu zapytań do e-gigantów. To tak naprawdę państwa w państwie funkcjonujące według własnych zasad.
Czego przykład mieliśmy w sprawie Apple i FBI, gdy ta firma IT odmówiła udostępnienia numeru PIN do iPhona, nawet gdy śledztwo było związane z zagrożeniem terroryzmem. Widzimy to też w statystykach publikowanych przez te firmy, czyli w raportach przejrzystości. To publikowane z zasady dwa razy do roku – zresztą po naciskach klientów – podsumowania tego, skąd spływają do nich wnioski o udostępnianie danych oraz ile ich jest, czy zablokowanie treści. A także jaką ich część respektują. Czyli jednym słowem – jak często dają nasze dane rządom i śledczym. I tak Apple reaguje na ok. 70 proc. wniosków rządowych z całego świata, Facebook w ubiegłym roku rozpatrzył pozytywnie mniej niż połowę wniosków z Polski, ale już tych brytyjskich czy amerykańskich blisko 9 na 10.
Kłania się tu właśnie ten wspomniany brak prawnego wsparcia dla formularzy i wypracowanych praktyk współpracy. Muszę tutaj jednak stanąć w obronie FB. Potrafi zadziałać bardzo skutecznie, np. gdy wysyłamy za pomocą formularza wniosek o zabezpieczenie danych. Robi to błyskawicznie i nawet na okres 6 miesięcy, co oczywiście jeszcze nie oznacza wydania tych danych. To jednak daje nam sporo czasu na pracę procesową. Czyli, jak widać, technologicznie mają wszystkie możliwości. Jeżeli tylko mają poczucie, że warto, to realizują nasze wnioski. Tak jest chociażby w przypadku praw autorskich. Firmy, które walczą o ich przestrzeganie, mają świetny argument, czyli prawo własności intelektualnej, które w Stanach jest traktowane bardzo poważnie i znajduje się wysoko w skali ważności. W efekcie współpraca jest udana. W przeciwieństwie do tego, czym my się najczęściej zajmujemy – czyli mową nienawiści, groźbami, kwestiami bezpieczeństwa. Tu się pojawia kwestia wolności słowa, którą w Stanach reguluje pierwsza poprawka do konstytucji. Pozostawia ona bardzo szerokie pole do interpretacji tego, czym jest ta wolność. W efekcie w takich sprawach niemal za każdym razem spotykamy się z odmowami współpracy.
Ale próbujecie dalej?
Oczywiście. Ale to jak z katarem. Leczony trwa siedem dni, a nieleczony tydzień. Zasada legalizmu powoduje, ze ja muszę wnioskować, ale mój partner po drugiej stronie oceanu hołduje zasadzie oportunizmu.
Inaczej jest z prowadzeniem śledztw, gdy potrzebna jest pomocom i dane od polskich firm? Czy tu też wcale nie jest tak prosto z wydobyciem informacji?
W tym przypadku jest zupełnie inaczej. Polskie podmioty współpracują z nami. Część robi to chętnie, reszta po prostu musi. Nasze przepisy postępowania karnego oraz np. prawo telekomunikacyjne nie pozostawiają pola do manewru. Firmy, które przetwarzają dane telekomunikacyjne, mają obowiązek przechowywać je przez rok i na wniosek prokuratora udzielać informacji. To jest klarowne. Wszystkie ścieżki mamy przepracowane.
Wciąż budzi kontrowersje skala tych zapytań. Ponad 1,14 mln razy policja i inne służby w 2016 r. pobrały nasze billingi czy informacje o lokalizacji telefonu komórkowego. A to i tak dane bez danych abonenckich, które z zasady stanowią ok. 40 proc. wszystkich zapytań. Dlaczego tak dużo?
Ta skala może rzeczywiście wydawać się ogromna. Ale to kwestia metodyki. Jesteśmy zainteresowani danymi dotyczącymi konkretnych podejrzanych, ale by je dostać, musimy je odsiać z całej masy niepotrzebnych informacji. Dziennie użytkownicy internetu generują gigantyczne ilości danych. Nie da się wydzielić we wniosku jednego numeru IP w danej godzinie. Dla przykładu, kiedy mamy nieuprawnione wejście na czyjąś skrzynkę e-mailową, musimy zapytać operatora o dane osób, które logowały się do tej skrzynki. Musimy uzyskać je za jakiś okres, a potem przeszukać konkretne godziny, odrzucić resztę, wybrać z tego konkretne numery. A reszta nas nie interesuje. W efekcie ze statystyk wyłaniają się ogromne ilości informacji, o które wnioskują służby. Ale to złudzenie, bo tych wniosków wcale nie ma aż tak dużo.
Dlaczego się nie da? Przecież można mieć telefoniczne bilingi konkretnego numeru. Chyba się nie prosi o wykaz rozmów np. z całej Warszawy od godziny 12.15 do 12.30, by szukać konkretnego numeru telefonu?
Ta procedura nie wygląda jak w pytaniu. Zapytania do telekomów nie polegają na tym, że pytamy o wykaz wszystkich rozmów np. z rzeczonej Warszawy w jakimś okresie. Mamy już albo dane użytkownika i chcemy jego konkretny billing, albo mamy numer telefonu i chcemy billing za jakiś konkretny okres czasu i dane abonenta. Taki billing podlega dalszej analizie i jeżeli pojawia się konieczność kolejnych zapytań o wyłuskane z niego kolejne numery telefonów, to oczywiście się pytamy. Proszę mieć na uwadze, że w praktyce prokuratorskiej staramy się ograniczać zarówno liczbę zapytań, jak i ograniczamy się do konkretnego czasu. Przynajmniej ja stosuję taką zasadę. Proszę też pamiętać, że to nie jest wyraz mojej ciekawości, z kim przysłowiowy Kowalski rozmawiał w sobotę rano, a próba uzyskania dowodu konkretnego zdarzenia i udziału w nim Kowalskiego lub też nie.
Kto te wielkie pakiety danych przegląda i wyłuszcza z nich to, co jest ważne?
Jeżeli mam czas, to sam to robię. Czasem policja. Ale jeżeli jest tych danych bardzo dużo i więcej w nich nas interesuje niż samo IP, to potrzebni są biegli. A z nimi, z tymi prawdziwie wyspecjalizowanymi w kwestiach cyber, też nie jest wcale za dobrze. Analiza przez biegłego znacznych ilości danych, np. kontenera faktur, potrafi zająć rok, a nawet dłużej. A wynagrodzenie, jakie biegły za to dostaje, nie przystaje do tego, co by zarobił komercyjnie, co nie działa motywująco. Najlepsi więc często nie chcą już przyjmować od nas zleceń. Niestety w ściganiu się z cyberprzestępcami ogromna część pracy rozbija się właśnie o takie problemy. No cóż, a takich przestęptstw będzie tylko więcej, bo to jest przecież opłacalny biznes.