[antifraud.in.th] การพิสูจน์พยานหลักฐานดิจิทัล (Digital Forensics) ตอนที่ 1: หลักการเบื้องต้น ผมไถลไปเขียนเรื่องการบ้านการเมืองมาหลายชิ้น วันนี้ขอกลับมานำเสนอในเรื่องวิชาการกันบ้าง

สำรวจ
ลงทุน
คำถาม

มีบัญชีอยู่แล้ว?หรือ

antifraud.in.th

•

25 ก.ย. 2020 เวลา 05:35 • ธุรกิจ

การพิสูจน์พยานหลักฐานดิจิทัล (Digital Forensics)

ตอนที่ 1: หลักการเบื้องต้น

ผมไถลไปเขียนเรื่องการบ้านการเมืองมาหลายชิ้น วันนี้ขอกลับมานำเสนอในเรื่องวิชาการกันบ้าง

ก็จะเป็นเรื่องของงานแขนงหนึ่งที่ใช้ในสืบสวนหาข้อเท็จจริงกรณีทุจริตในองค์กรอยู่ในปัจจุบัน ซึ่งก็คือการพิสูจน์พยานหลักฐานดิจิทัล (Digital Forensics) ครับ

ทุกวันนี้ ข้อมูลต่าง ๆ ก็อยู่ในแบบ Digital ทั้งหมด จะหาหลักฐานอะไรก็อยู่ในอุปกรณ์อิเล็กทรอนิกส์ทั้งนั้นหล่ะครับ ต่อให้อยู่ในรูปแบบเอกสาร บางทีเราก็ต้อง "Digitize" หรือแปลให้เป็นดิจิทัลซะก่อน เช่น เอาไป Scan หรือทำ OCR ดึงออกมาเป็นข้อความ เพื่อให้ผู้สืบสวนสามารถ Search ด้วยคำค้นหา (Keyword) ต่าง ๆ ได้โดยสะดวก

เพราะจะไปพลิกเอกสารดูทีละหน้าก็เสร็จโจรกันพอดีครับ

คำว่า Forensics ที่ในบริบทนี้เราแปลว่า "การพิสูจน์พยานหลักฐาน" ซึ่งมาจากรากศัพท์ ภาษาละตินที่แปลว่า "ใช้ใน Forum" หรือ "ต่อหน้า Forum" (of or before forum) เพราะสมัยโรมัน การไต่สวนผู้กระทำผิด จะทำในสถานที่อภิปรายสาธารณะที่เรียกว่า Forum นั่นเอง

พอเอามาประกอบกับคำว่า Digital ก็เลยหมายถึงการพิสูจน์พยานหลักฐานที่เป็นรูปแบบดิจิทัล และแน่นอนว่าต้องใช้วิธีการ และเทคนิคที่เป็นดิจิทัล

เทคนิคที่ว่าถ้าเป็นสมัยก่อน สักราว ๆ 10 ปีขึ้นไป เราจะเจอคำว่า Computer Forensics มากกว่า เพราะยุคนั้น มันมีแต่คอมพิวเตอร์ที่เอาใช้ในงานธุรกิจ และเป็นแหล่งของพยานหลักฐานที่สำคัญ

แต่เมื่อวันเวลาผ่านไป เราเริ่มมีแหล่งของพยานหลักฐานดิจิทัลอย่างอื่นให้แสวงหามากขึ้น งานประเภทนี้ก็เลยแตกแขนงออกไป เกิดเป็น Mobile Forensics (โทรศัพท์มือถือ), Network Forensics (เครือข่ายคอมพิวเตอร์), Cloud Forensics (ระบบ Cloud) ฯลฯ

พอเริ่มมีสาขาย่อยมากขึ้น ๆ เหล่าคนในวงการก็เลยเอามาจับมัดรวมกันเรียกชื่อใหม่เป็น Digital Forensics

ก็ฟังดู Cool ดีไม่น้อย

เมื่อเปรียบเทียบกับ พยานหลักฐานแบบคลาสสิก เช่น อาวุธปืน เสื้อผ้า หรือเอกสารที่ลงนามไว้ พวกนี้หยิบมาก็รู้เลยว่าคืออะไร เอามาจากไหน ต้องการสื่ออะไร

แต่พยานหลักฐานดิจิทัล เช่น Email จะมีความแตกต่างที่สำคัญคือ มันเป็นข้อมูลที่จับต้องไม่ได้ และบรรจุอยู่ในหน่วยความจำของอุปกรณ์ (หรือบน Cloud)

ถ้าจะนำเสนอในแบบจับต้องได้ เราก็ต้องไปค้นหา Email พวกนั้นจากระบบ Save ออกมาเป็น File เปิดออกบนหน้าจอ หรือ พิมพ์ลงกระดาษ

ซึ่งถ้าคนจะมีคนโต้แย้ง ก็แย้งได้ตั้งแต่ที่มาของ Email ว่ามาจากเครื่องไหน และฐานข้อมูล หรือหน่วยความจำในนั้นมีคนเข้าไปแก้ไขได้หรือไม่

หรือที่ Save ออกมาเป็น File จะแน่ใจได้อย่างไรว่าไม่มีใครเอาไปแก้ไข หรือ ที่พิมพ์ลงกระดาษออกมา จะแน่ใจได้อย่างไรว่ามาจาก Email ต้นฉบับจริง ฯลฯ

ดังนั้นความท้าทายหลักของพยานหลักฐานประเภทนี้ คือ "กระบวนการ" ที่ให้ผู้รับเชื่อถือว่าสิ่งที่เห็นอยู่นี้คือพยานหลักฐานของจริงครับ

หลักของกระบวนการ Digital Forensics นี้ ความจริงก็แทบไม่ต่างจากการพิสูจน์หลักฐานด้วยวิทยาศาสตร์ในแบบอื่น ๆ เพราะทั้งหมดคือการนำความรู้ในเทคโนโลยีด้านนั้น ๆ มาใช้เพื่อ "การพิสูจน์หลักฐาน" กล่าวคือ

1. ต้องมีความน่าเชื่อถือ (Credibility)

ขึ้นชื่อว่าพยานหลักฐาน หากไม่น่าเชื่อถือก็คงไม่มีใครเอาไปใช้ แต่สำหรับพยานหลักฐานดิจิทัล ความพิเศษก็อยู่ตรงที่มันเป็นหลักฐานที่จับต้องไม่ได้ ต้องมีการแปรรูปออกมาในสื่อที่เป็นกายภาพ เพื่อนำเสนอให้ผู้รับสามารถเข้าถึงเนื้อหา ได้ แต่ในขณะเดียวกันก็ยังต้องคงความน่าเชื่อถือไว้

สมมติเราผู้เป็นโจทย์อ้างถึง Email ที่พิมพ์ใส่กระดาษ A4 เพื่อใช้เป็นหลักฐานแสดงว่า จำเลยเป็นคนส่งข้อมูลลับหา นาย ก เมื่อวันที่ 2 ก.พ. 2563 เวลา 10:00 น. แต่จำเลยแย้งว่า Email ในกระดาษ A4 แผ่นนี้เขาไม่ได้เป็นคนส่ง เพราะใคร ๆ ก็พิมพ์เองได้ ดังนั้นพยานหลักฐานชิ้นนี้ไม่น่าเชื่อถือ แล้วเราจะทำอย่างไร?

กระบวนการ Digital Forensics ที่ถูกต้องจะช่วยเราในเรื่องนี้ได้ครับ ซึ่งผมจะทยอยนำมาเล่าให้ฟังในโอกาสถัด ๆ ไป

2. เมื่อนำไปพิสูจน์ซ้ำต้องได้ผลเช่นเดิม (Repeatability)

เช่นเดียวกับพยานหลักฐานแบบอื่น ๆ หากคู่ความต้องการโต้แย้งความน่าเชื่อถือของพยานที่อีกฝ่ายนำมาอ้าง ก็สามารถนำไปพิสูจน์ซ้ำเองได้

และเนื่องจากการพิสูจน์พยานหลักฐานดิจิทัลยังคงเป็นเรื่องใหม่ ก็ไม่แปลกที่อีกฝั่งจะขอทำการพิสูจน์ด้วยตัวเองอีกครั้ง เพื่อใช้หักล้างข้อกล่าวหา

ถ้าลองสมมติต่อจากข้อที่แล้วว่า เราผู้เป็นโจทย์อ้างว่า Email ที่ใช้เป็นหลักฐานฉบับนี้มาจาก Harddisk ลูกหนึ่ง แต่พอฝั่งจำเลยเอา Harddisk ลูกนั้นไปเปิดดูกลับไม่พบ Email ดังกล่าว นั่นแปลว่ากระบวนการพิสูจน์หลักฐานของเราไม่ Repeatable ครับ

เช่นเดียวกันครับ กระบวนการ Digital Forensics ที่ถูกต้องจะช่วยเราป้องกันในเรื่องนี้ได้

3. ต้องใช้ในกระบวนการทางกฎหมายได้ (Admissibility)

หลักการนี้ อันที่จริงก็เป็นหลักสากลเช่นกัน เพราะการได้มาซึ่งพยานหลักฐาน ไม่ว่าจะเป็นหลักฐานแบบไหนสุดท้ายก็ต้องให้กฎหมายยอมรับเสียก่อนจะนำมาเข้าสู่กระบวนการได้

ตัวอย่างง่าย ๆ คือ พยานหลักฐานดังกล่าวต้องได้มาโดยชอบ คือไม่ได้ไปข่มขู่เขา ไม่ได้ไปขโมยของเขามา หรือกรณีข้อมูลดิจิทัล ก็ไม่ได้มาด้วยการไป Hack Email ส่วนตัวของเขาออกมา ไม่อย่างนั้นจะถือว่าได้มาโดยมิชอบ

คือจริง ๆ ก็อาจจะมีข้อยกเว้นบ้างตาม ป.วิ. อาญา มาตรา 226/1 ว่าหลักฐานที่แม้จะได้มาโดยมิชอบ แต่เพื่อประโยชน์แห่งความยุติธรรม ศาลก็อาจจะรับฟังได้

อย่างไรก็ดี ในทางปฏิบัติเราไม่ควรไปหวังน้ำบ่ออหน้าแบบนั้นถ้าไม่จำเป็นครับ ทำให้ถูกต้องตั้งแต่แรกดีกว่า ดูเป็นมืออาชีพดีด้วย

และก็เช่นเดิม กระบวนการ Digital Forensics ที่ถูกต้องจะช่วยเราในเรื่องนี้ได้ครับ

ตอนหน้าจะเล่าให้ฟังถึงขั้นตอนทั่วไปของกระบวนการครับว่า มีอะไรบ้าง และแต่ละขั้นตอนนั้น ช่วยตอบโจทย์ของหลักการทั้ง 3 อย่างไร

ขอบคุณมากครับ

Website: www.antifraud.in.th

Blockdit: www.blockdit.com/antifraud.in.th

โฆษณา

ดาวน์โหลดแอปพลิเคชัน

ดาวน์โหลดแอปพลิเคชัน