Apa sebenarnya perbedaan antara pemulihan data, forensik komputer, dan e-discovery?
Ketiga bidang tersebut berhubungan dengan fakta, dan khususnya informasi elektronik. Ini semua tentang elektron dalam bentuk nol dan jenisnya. Dan yang terpenting adalah mendapatkan detail yang mungkin sulit ditemukan dan menyajikannya dengan cara yang mudah dibaca. Namun meskipun terdapat tumpang tindih, rangkaian kemampuan memerlukan peralatan yang unik, spesialisasi yang berbeda, lingkungan kerja yang unik, dan berbagai cara mencari titik.
Pemulihan data biasanya melibatkan masalah kerusakan – baik perangkat keras maupun perangkat lunak. Ketika laptop mogok dan tidak dapat dijalankan kembali, ketika hard disk eksternal, thumb travel, atau kartu memori tidak dapat dibaca, maka pemulihan data mungkin diperlukan. Biasanya, perangkat digital yang memerlukan pemulihan pengetahuannya akan mengalami kerusakan digital, cedera fisik, atau kombinasi keduanya. Jika ini masalahnya, perbaikan perangkat keras akan menjadi bagian besar dari proses pemulihan detail. Hal ini mungkin memerlukan perbaikan elektronik drive, atau bahkan mengubah tumpukan kepala baca/tulis di dalam bagian drive disk yang tersegel.
Jika perangkat kerasnya utuh, konstruksi file atau partisi mungkin akan rusak. Beberapa peralatan pemulihan data akan mencoba memulihkan partisi atau kerangka file, meskipun yang lain melihat sekilas komposisi file yang rusak dan mencoba mengeluarkan file data. Partisi dan direktori juga dapat dibuat ulang secara manual dengan hex editor, tetapi mengingat ukuran disk drive saat ini dan total informasi di dalamnya, hal ini cenderung tidak praktis.
Secara umum, pemulihan informasi adalah salah satu bentuk metode “makro”. Hasil akhirnya adalah banyaknya informasi yang disimpan tanpa terlalu memperhatikan dokumen aslinya. Karir pemulihan informasi biasanya berupa disk drive pribadi atau media elektronik lainnya yang komponen atau aplikasinya rusak. Tidak ada kriteria khusus yang disetujui secara luas di pasar dalam pemulihan pengetahuan.
Penemuan digital biasanya berkaitan dengan paket perangkat keras dan perangkat lunak yang utuh. Kesulitan dalam e-discovery termasuk “de-duping.” Pencarian mungkin dilakukan karena banyaknya pesan email dan dokumen yang ada atau yang dicadangkan.
Berkat sifat komputer pribadi dan email, kemungkinan besar terdapat sangat banyak duplikat yang setara (“penipuan”) dari berbagai file dan email. Aplikasi e-discovery dikembangkan untuk menyaring apa yang biasanya merupakan aliran pengetahuan yang tidak dapat dikelola ke ukuran yang bisa diterapkan dengan mengindeks dan menghilangkan duplikat, yang juga dikenal sebagai de-duping.
E-discovery biasanya melakukan promosi dengan sebagian besar data dari perangkat keras yang tidak rusak, dan perlakuannya termasuk dalam Prinsip Federal Teknik Sipil (“FRCP”).
Forensik komputer pribadi memiliki aspek dari dua penemuan elektronik dan pemulihan data.
Dalam forensik komputer, pemeriksa forensik (CFE) menanyakan dan sebagai akibat dari pengetahuan yang sudah ada dan yang sudah ada sebelumnya, atau pengetahuan yang dihapus. Dalam melakukan bentuk e-discovery ini, seorang profesional forensik terkadang mengabaikan perangkat keras yang rusak, meskipun hal ini jarang terjadi. Proses pemulihan data dapat digunakan untuk memulihkan dokumen yang terhapus secara utuh. Namun seringkali CFE harus menghadapi upaya yang disengaja untuk menyembunyikan atau merusak informasi yang memerlukan keahlian di luar rumah seperti yang terlihat di industri pemulihan informasi.
Ketika berhadapan dengan email, CFE sering menelusuri tempat yang tidak terisi untuk mendapatkan informasi sekitar – pengetahuan yang tidak lagi ada sebagai file yang dapat dibaca oleh konsumen. Hal ini dapat melibatkan pencarian kata atau frase unik (“pencarian frase pencarian”) atau alamat surat elektronik di tempat yang tidak terisi. Ini bisa termasuk meretas file data Outlook untuk menemukan email yang dihapus. Hal ini dapat melibatkan pencarian ke dalam cache atau file log, atau bahkan ke dalam dokumen warisan Internet untuk mencari sisa-sisa data. Dan tentu saja, ini sering kali mencakup pencarian melalui file aktif untuk data yang sama.
Praktik terkait ketika mencari dokumen berbeda yang mendukung suatu situasi atau permintaan. Kueri kata kunci dilakukan pada dokumen aktif atau terlihat, dan pada detail sekitar. Kueri kata kunci harus dikembangkan dengan hati-hati. Dalam situasi seperti ini, penulis Schlinger Foundation v Blair Smith menemukan lebih dari satu juta kata kunci “hit” pada dua disk drive.
Terakhir, ahli forensik laptop atau komputer juga umumnya diidentifikasi untuk bersaksi sebagai saksi pro dalam deposisi atau di ruang sidang. Sebagai konsekuensinya, strategi dan penanganan CFE mungkin akan diabaikan dan pihak profesional mungkin akan dipanggil untuk menjelaskan dan mempertahankan hasil dan tindakannya. Seorang CFE yang juga merupakan saksi ahli mungkin harus melindungi permasalahan yang diklaim di pengadilan atau dalam tulisan yang dicetak di tempat lain.
Biasanya, promosi pemulihan pengetahuan dengan perjalanan disk seseorang, atau detail dari satu proses tertentu. Rincian rumah tangga restorasi akan memiliki spesifikasi dan perawatan serta fungsinya masing-masing berdasarkan status, bukan sertifikasi. Penemuan elektronik biasanya menangani informasi dari sejumlah besar metode, atau dari server yang mungkin berisi banyak akun pengguna. Teknik e-discovery didasarkan pada kombinasi perangkat lunak dan perangkat keras yang telah terbukti dan sebaiknya direncanakan jauh sebelumnya (sementara tidak adanya pra-pengorganisasian cukup lazim). Forensik komputer mungkin hanya menangani satu atau lebih metode atau alat, mungkin cukup fleksibel dalam cakupan persyaratan dan permintaan yang dibuat, biasanya menangani fakta yang hilang, dan harus dapat dipertahankan – dan dipertahankan – di pengadilan.
EZ