现代数字取证为电子数据展示任务提供必要的技术支持。这种交互(在某些情况下称为信息保障)还必须考虑数据和信息处理向多云和离线设备、系统和应用程序的转变。
企业电子数据展示简介
熟悉的电子数据展示过程(可被视为信息保障的子集)涉及工作人员对以电子形式存储的信息的发现和保存过程,通常作为某些法律程序(如诉讼)的一部分。其他监管工具,如信息自由法案 (FOIA)、英国的 GDPR 以及世界各地的其他工具,也通常会促使数据所有者进行类似电子发现的活动。
考虑到地域、当地法律甚至文化方面的差异,国际电子数据展示可能特别复杂。
典型的电子数据展示过程从法定代表人获得法院授权开始,请求数据所有者识别并保留某些指定的项目。请求容易做起来难,因为并非每个企业都对自己的数据对象有很好的了解。当指定的对象存储在公共云中时,电子数据展示过程尤其具有挑战性。
正如人们所期望的那样,后续的电子数据展示过程步骤将需要使用自动化平台工具进行数字取证审查、分析和保存。在无法轻松识别或查看请求的工件的情况下,这一点尤其重要。在最佳情况下,数字取证工具的选择需要考虑到未来的电子数据展示要求。本说明旨在帮助企业团队遵循这一原则。
数据发现和风险管理
笔记本电脑、台式机、服务器、物联网 (IoT) 设备和内容存储库是现代组织的支柱。这些组件的数据推动业务发展;因此,精确地了解和控制其存储的信息对于暴露、理解和管理风险至关重要。保持对信息的控制从未像现在这样具有挑战性。员工每天都在创建、编辑、传输和删除信息,这突显了此类数据对电子发现过程的重要性。
组织也将数据存在谷歌、Microsoft 和亚马逊等多个超大规模企业中,因此高度分散的员工正在使用大量云存储库与合作伙伴和同行进行协作。为了应对这一挑战,组织开始使用数据发现平台以全面且可防御的方式覆盖整个数据资产。从内部法律顾问和合规性到信息安全团队,整个组织对敏感数据使用情况和位置都有了全面的了解,并从中受益。内部法律顾问必须及时履行全面的证据开示义务。
合规团队需要实施内部策略,并确保医疗、财务和客户数据保持私密并受到保护。信息安全团队必须了解 IT 基础架构的哪些区域可能受到内部或外部的威胁。基于取证原则实施数据发现是提供准确、完整的相关电子存储信息 (ESI) 并揭示敏感数据风险所需的可见性和控制力的唯一方法。
面向企业电子发现的数字取证
数据发现在风险管理中很重要,企业团队了解电子数据展示的取证要求也很重要。幸运的是,这是一个成熟的流程,通常被从业者所理解,并且得到 IT 运营团队、CISO 领导的安全团队和法律顾问的支持。流行的参考模型可帮助指导和组织各种电子数据展示任务,包括它们如何交互和反馈到信息治理基础 (请参阅图 1)。
尽管熟悉电子数据展示中涉及的信息治理、识别、保存、收集和其他任务,但由于现代技术和企业不断发生变化,出现了两个新的注意事项,在电子数据展示期间需要注意。第一个涉及企业计算向公共云服务的大规模转移,第二个涉及电子发现期间对数字取证支持的需求不断增长。
向公有云转移
大量企业计算(包括第三方)向系统和应用程序的离线使用的转变通常严重依赖亚马逊、谷歌和 Microsoft 等公司的公共云服务。还有使用 Salesforce 和 SAP 等公司基于 SaaS 功能的增加。为此,必须扩展电子数据展示过程,将新的基础结构覆盖在内。
对数字取证的需求
现代企业计算的相应转变涉及从所需的设备、系统、应用程序和服务中提取不太明显的数据。为此,现代数字取证在支持企业的电子发现需求方面比以往任何时候都更加重要。数字取证的商业平台必须与电子发现流程和工具紧密集成,而且必须扩展到公共云服务。
市场情形:信息保障和企业电子发现
选择现代数字取证商业平台的挑战在于需要保证支持企业不断变化的电子数据展示需求。为此,我们在下面提供了一组问题,可以帮助团队选择正确的商业平台合作伙伴。每个问题都与上面介绍的参考模型密切相关。
数字取证平台如何为电子数据展示的信息治理组件提供支持?
良好的企业信息治理的目标应该是最大限度地提高策略、流程和控制的透明度,支持正在进行的业务运营和数字化转型。这意味着,对于正确支持信息治理的组织来说,恰当地使用数字取证工具来收集、保存和分析指定数据会相对简单。
然而,大多数组织都在努力解决信息治理问题,这意味着数字取证平台必须能弥补任何弱点。这包括取证平台需要具备在存储、保留和其他与取证相关的信息可能不是最佳的企业环境中发现和收集电子信息的能力。
数字取证平台如何为电子数据展示中的识别任务提供支持?
取证平台在识别方面的主要任务是协助发现设备和系统上没有立即显现出来的电子存储信息。越来越需要取证工具支持发现可能被内部人员恶意隐藏、删除甚至故意破坏的至关重要的数据。现代数字取证平台必须支持这一目标。
数字取证平台如何为电子数据展示中的收集和保存任务提供支持?
收集和保存以电子方式存储的信息是支持特定法律程序需求的重要任务。数字取证平台在不更改或损坏数据的前提下必须支持提取、保存数据的需求,保存关键证据。这项任务需要取证平台与用于收集和保存的其他 IT 工具之间进行协调。
数字取证平台如何支持电子数据展示中的处理、审查和分析任务?
以电子方式存储的数据的处理、审查和分析通常以自动化和人工活动相结合来执行。因此,将数字取证平台集成到该分析生态系统中需要人类分析师的程序协调,以及用于在取证平台和其他分析工具之间共享数据的自动化接口(通常是应用程序编程接口)。
数字取证平台如何为电子数据展示中的生产和演示任务提供支持?
支持电子数据展示过程的最终任务包括生成和呈现所收集和分析的结果。这可以是非正式的,例如针对内部经理,也可以是正式的,例如支持证词、审判或法庭听证会。因此,数字取证平台必须包括将调查结果集成到电子数据展示团队生产和演示活动中的功能。