Setelah lama tidak menulis dan melanjutkan proyek kecil untuk membahas SNI 27037:2014, akhirnya sekarang diberikan kesempatan untuk kembali melanjutkannya. Kali ini kita akan membahas tentang tahapan investigasi yang diatur dalam SNI 27037:2014. Dalam dokumen SNI ini banyak membahas tentang aktifitas identifikasi, pengumpulan, akuisisi, dan preservasi.
Menurut dokumen SNI 27037:2014, Identifikasi adalah proses yang meliputi pencarian, mengenali, dan mendokumentasikan semua yang berpotensial menjadi barang bukti digital. Proses identifikasi yang dilakukan sebaiknya mengenali digital storage media dan processing devices yang mengandung potensi barang bukti digital yang relevan terhadap kasus. Proses ini juga termasuk melakukan aktifitas untuk memberikan prioritas terhadap barang bukti yang dikumpulkan berdasarkan tingkat volatility atau tingkat barang bukti digital yang mudah rusak atau hilang.
Data volatility atau data yang mudah rusak dan hilang harus diidentifikasikan untuk memastikan bahwa data tersebut mendapatkan prioritas utama dalam proses pengumpulan dan akusisi agar meminimalisir kerusakaan terhadap barang bukti digital yang berpotensi tersebut dan memastikan mendapatkan barang bukti yang terbaik.
Kemudian dalam dokumen SNI 27037:2014, dijelaskan juga bahwa Collection atau pengumpulan adalah proses penanganan barang bukti digital dimana peralatan yang diindikasikan menjadi barang bukti yang berpotensi, dipindahkan dari lokasi aslinya (tempat kejadian perkara) ke laboratorium atau lokasi lain yang dapat dikontrol untuk kemudian akan diakusisi dan dianalisis.
Singkatnya, collection ini merupakan proses pemindahan barang bukti dari tempat kejadian perkara ke lokasi yang aman. Peralatan yang ditemukan di tempat kejadian perkara dan berpotensi menjadi barang bukti digital dibagi menjadi dua jenis yaitu peralatan dalam keadaan hidup dan peralatan dalam keadaan mati. Perbedaan kedua hal tersebut menjadi penting karena akan menentukan perbedaan tindakan yang harus dilakukan.
Proses pengumpulan ini juga harus didokumentasikan dan juga proses ini termasuk mempaketkan atau membungkus barang bukti yang ditemukan ke dalam alat pembungkus barang bukti untuk kemudian dikirimkan ke laboratorium. Proses ini sangat penting bagi petugas First Responder dan harus dilakukan dengan teliti. Sebagai contoh adanya kertas bertuliskan sesuatu yang diindasikan sebagai password juga harus dikumpulkan. Barang bukti yang berpotensi, bisa hilang apabila proses ini tidak dilakukan dengan hati-hati.
Selanjutnya tahapan akuisisi yang menurut dokumen SNI 27037:2014, adalah sebuah proses untuk membuat salinan barang bukti digital dan mendokumentasikan metodologi yang digunakan serta aktifitas yang dilakukan. Petugas yang melakukan akuisisi harus memilih metode yang paling sesuai berdasarkan situasi, biaya dan waktu, dan mendokumentasikan keputusan yang dipilih untuk menggunakan metode tertentu dan tool yang sesuai.
Metode yang dipilih juga harus dapat dipraktekkan, dapat diulang kembali prosesnya dengan hasil yang sama, dan dapat diverifikasi bahwa hasil salinan sama percis dengan barang bukti yang asli. Dalam keadaan dimana proses verifikasi tidak dapat dilakukan, sebagai contoh ketika proses akuisisi yang sedang berjalan, tiba-tiba salinan asli yang sedang dibuat mengalami error sectors, maka dalam kasus seperti ini petugas investigasi yang melakukan akuisisi harus memilih metode yang paling memungkinkan untuk melakukan proses akuisisi ulang dan mendokumentasikannya, lalu dapat menjelaskan kenapa dilakukan akuisisi ulang dan dapat mempertahankan argumennya.
Ketika ada suatu keadaan dimana tidak memungkinkan atau tidak mendapatkan izin untuk membuat salinan barang bukti yang asli secara utuh, semisal karena sumber data yang terlalu besar, maka diperbolehkan melakukan logical acquisition. Yang hanya membuat salinan terhadap data yang spesifik, folder, atau lokasi data tertentu. Namun dengan cara ini, data yang telah terhapus, data di unallocated space¸tidak akan ikut tersalin. Selain itu, metode logical acquisition juga dapat digunakan ketika ada sistem yang kritikal dimana sistem tersebut tidak boleh dimatikan.
Tahapan berikutnya yang diatur dalam dokumen SNI 27037:2014 adalah preservasi. Yang menurut isi dokumen SNI 27037:2014, preservasi adalah proses untuk melakukan pengamanan terhadap barang bukti digital yang potensial dan perangkat digital yang memuat barang bukti digital yang juga berpotensial dari kerusakan dan hal-hal yang menyebabkan barang bukti tersebut bisa hilang. Proses preservasi harus dimulai dan dilakukan diseluruh proses penanganan barang bukti digital, yang dimulai dari proses identifikasi perangkat digital yang memuat barang bukti digital yang potensial.
Yogyakarta, 24 November 2016
Sign up here with your email