Apa perbedaan antara pemulihan data, forensik komputer, dan e-discovery?
Ketiga bidang tersebut berhubungan dengan data, dan khususnya data digital. Ini semua tentang elektron dalam bentuk nol dan satu. Dan ini semua tentang mengambil informasi yang mungkin sulit ditemukan dan menyajikannya dengan cara yang mudah dibaca. Tetapi meskipun ada tumpang tindih, keahlian memerlukan alat yang berbeda, spesialisasi yang berbeda, lingkungan kerja yang berbeda, dan cara pandang yang berbeda.
Pemulihan data umumnya melibatkan hal-hal yang rusak – baik perangkat keras atau perangkat lunak. Ketika komputer mogok dan tidak dapat memulai kembali, ketika hard disk eksternal, thumb drive, atau kartu memori tidak dapat dibaca, maka pemulihan data mungkin diperlukan. Seringkali, perangkat digital yang datanya perlu dipulihkan akan mengalami kerusakan elektronik, kerusakan fisik, atau kombinasi keduanya. Jika demikian, perbaikan perangkat keras akan menjadi bagian besar dari proses pemulihan data. Ini mungkin melibatkan perbaikan elektronik drive, atau bahkan mengganti tumpukan kepala baca / tulis di dalam bagian tertutup dari drive disk.
Jika perangkat kerasnya utuh, struktur file atau partisi kemungkinan besar akan rusak. Beberapa alat pemulihan data akan mencoba untuk memperbaiki partisi atau struktur file, sementara yang lain melihat ke dalam struktur file yang rusak dan mencoba menarik file keluar. Partisi dan direktori dapat dibangun kembali secara manual dengan editor hex juga, tetapi mengingat ukuran disk drive modern dan jumlah data di dalamnya, ini cenderung tidak praktis.
Pada umumnya, pemulihan data adalah semacam proses “makro”. Hasil akhirnya cenderung menjadi populasi besar data yang disimpan tanpa banyak perhatian pada file individual. Pekerjaan pemulihan data seringkali merupakan drive disk individu atau media digital lainnya yang telah merusak perangkat keras atau perangkat lunak. Tidak ada standar tertentu yang diterima di seluruh industri dalam pemulihan data.
Penemuan elektronik biasanya berkaitan dengan perangkat keras dan perangkat lunak yang utuh. Tantangan dalam e-discovery termasuk “de-duping.” Pencarian dapat dilakukan melalui sejumlah besar email dan dokumen yang ada atau yang dicadangkan.
Karena sifat komputer dan email, kemungkinan besar ada banyak duplikat identik (“penipu”) dari berbagai dokumen dan email. Alat E-discovery dirancang untuk menyaring apa yang mungkin menjadi aliran data yang tidak dapat dikelola ke ukuran yang dapat dikelola dengan mengindeks dan menghapus duplikat, juga dikenal sebagai de-duping.
E-discovery sering berurusan dengan sejumlah besar data dari perangkat keras yang tidak rusak, dan prosedurnya berada di bawah Federal Rules of Civil Procedure (“FRCP”).
Forensik komputer memiliki aspek e-discovery dan pemulihan data.
Dalam forensik komputer, pemeriksa forensik (CFE) mencari dan melalui data yang ada dan yang sudah ada sebelumnya, atau yang dihapus. Melakukan e-discovery semacam ini, seorang ahli forensik terkadang menangani perangkat keras yang rusak, meskipun hal ini relatif jarang terjadi. Prosedur pemulihan data dapat dilakukan untuk memulihkan file yang terhapus secara utuh. Namun seringkali CFE harus berurusan dengan upaya yang disengaja untuk menyembunyikan atau menghancurkan data yang memerlukan keterampilan di luar yang ditemukan dalam industri pemulihan data.
Saat berurusan dengan email, CFE sering mencari ruang yang tidak terisi untuk data sekitar – data yang tidak lagi ada sebagai file yang dapat dibaca oleh pengguna. Ini dapat mencakup pencarian kata atau frasa tertentu (“pencarian kata kunci”) atau alamat email di ruang yang tidak terisi. Ini dapat mencakup peretasan file Outlook untuk menemukan email yang dihapus. Ini dapat mencakup melihat ke dalam cache atau file log, atau bahkan ke file riwayat Internet untuk sisa-sisa data. Dan tentu saja, sering kali menyertakan pencarian melalui file aktif untuk data yang sama.
Praktiknya serupa ketika mencari dokumen spesifik yang mendukung suatu kasus atau dakwaan. Pencarian kata kunci dilakukan baik pada dokumen yang aktif atau terlihat, dan pada data sekitar. Pencarian kata kunci harus dirancang dengan hati-hati. Dalam satu kasus seperti itu, Schlinger Foundation v Blair Smith penulis menemukan lebih dari satu juta kata kunci “hits” pada dua disk drive.
Terakhir, ahli forensik komputer juga sering dipanggil untuk bersaksi sebagai saksi ahli dalam deposisi atau di pengadilan. Akibatnya, metode dan prosedur CFE dapat dilihat di bawah mikroskop dan ahli dapat diminta untuk menjelaskan dan mempertahankan hasil dan tindakannya. CFE yang juga merupakan saksi ahli mungkin harus membela hal-hal yang dikatakan di pengadilan atau dalam tulisan yang diterbitkan di tempat lain.
Paling sering, pemulihan data berhubungan dengan satu disk drive, atau data dari satu sistem. Rumah pemulihan data akan memiliki standar dan prosedurnya sendiri dan bekerja berdasarkan reputasi, bukan sertifikasi. Penemuan elektronik sering berhubungan dengan data dari sejumlah besar sistem, atau dari server yang mungkin berisi banyak akun pengguna. Metode E-discovery didasarkan pada kombinasi perangkat lunak dan perangkat keras yang telah terbukti dan paling baik direncanakan jauh sebelumnya (walaupun kurangnya pra-perencanaan sangat umum). Forensik komputer dapat menangani satu atau banyak sistem atau perangkat, mungkin cukup lancar dalam lingkup tuntutan dan permintaan yang dibuat, sering kali berurusan dengan data yang hilang, dan harus dapat dipertahankan – dan dipertahankan – di pengadilan.
EZ