Bir iç soruşturma sürecinde eğer şüphe ve iddialara ilişkin inceleme dijital verileri de kapsıyor ise ilk refleks, hemen ilgili şüphelinin bilgisayarına veya telefonuna bakmak olur. Şüpheler ortaya çıktığında ekipteki bir yönetici hemen şu cümleyi kurar: “Bilgisayarını açalım, e-postalarına bakalım, ne varmış görelim”. Ardından şüphelinin bilgisayarı ve telefonu açılır, şifreler girilir ve epostalar okunmaya başlanır…. İşte en büyük hata tam da burada başlar.
Bu tür bir müdahale, soruşturmanın seyrini belirleyecek en kritik delillerin kaybolmasına veya kullanılamaz hale gelmesine neden olabilir. Özellikle dijital verilerde en önemli koruma unsuru olan delil zinciri (chain of custody) bozulur; “bir bakayım ne varmış” gibi görünürde masum refleksler bile, farkında olmadan iç soruşturmayı şirket aleyhine geri döndürülemez biçimde değiştirebilir. Sonuç olarak, erken aşamada soruşturmaya fiilen 1–0 geride başlanmış olur.
İlk aşamada yapılması gereken en önemli şey, veri kaynağına dokunmamaktır.
Eğer veri kaynağı bir dizüstü bilgisayarsa ekranını bile açmayın; güç tuşuna basmayın ve kapalı olsa dahi harici disk takmayın. Kaynak bir cep telefonuysa, kapalı olsa bile hiçbir tuşa basmayın. Ne bilgisayarı ne de telefonu şarja takın; eğer şarj kablosuna bağlıysa bağlantıyı kesmeyin.
Kısacası, cihaz olduğu gibi bırakılmalı ve hiçbir şekilde müdahale edilmemelidir — çünkü yapılacak en küçük işlem bile delillerin bütünlüğünü bozarak soruşturmanın seyrini geri dönülmez biçimde değiştirebilir.
Delil zincirini bozmadan dijital veriyi incelemenin tek güvenli yolu imaj almadır. İmaj, bir cihazın o anki dijital “fotoğrafı”dır. Bilgisayar veya telefondaki tüm veriler, adli bilişim amaçlı donanım ve yazılımlar kullanılarak birebir kopyalanır.
İmaj alma işlemi tamamlandığında sisteme özgü bir hash değeri üretilir (dijital parmak izi) ve bu değer delilin özgünlüğünü ve değişmediğini kanıtlar. Bu nedenle imaj alındıktan sonra hash değeri ile birlikte tüm teknik ayrıntıların yer aldığı bir tutanak düzenlenmeli ve delil zincirinin korunması sağlanmalıdır.
İmaj üzerinden yapılan inceleme, uzmanlar tarafından yürütüldüğünde bulunan veriler hukuki süreçte güvenle kullanılabilir, çünkü artık delilin bütünlüğü konusunda şüphe kalmamıştır.
Cerebra olarak, iç soruşturmalarda delil bütünlüğünü koruyarak hızlı, metodolojik ve izlenebilir bir müdahale süreci yürütüyoruz. Adli bilişim standartlarına uygun şekilde, şüpheliye ait dijital cihazların adli imajlarını (forensic image) alıyor ve bu verileri hash değeri ile doğrulanabilir biçimde incelemeye hazır hale getiriyoruz.
Sonraki aşamada, elde edilen dijital verileri KVKK ve uluslararası gizlilik standartlarına uygun biçimde e-keşif platformumuzda endeksliyoruz. Yönetimle koordineli olarak belirlenen arama kriterleri ve anahtar kelimeler üzerinden içerik analizi yapıyor, bulguların soruşturma kapsamındaki iddia ve risk alanlarıyla teknik olarak ilişkilendirilmesini sağlıyoruz.
Unutmayın: Bir iç soruşturmanın başarısı, çoğu zaman delilin bulunmasında değil, korunmasında gizlidir. Dokunulan her veri, kaybolan bir gerçeğe dönüşebilir.