Digital Forensics: Chain of Custody

Chain of custody คือ

Chain of custody คือขบวนการในการปฏิบัติงานกับพยานหลักฐาน ในกรณีของการพิสูจน์หลักฐานทางดิจิตัล (Digital Forensics) จะเริ่มตั้งแต่ขั้นตอนการเก็บหลักฐาน การควบคุมการเข้าถึง การส่งต่อ-รับมอบ ในกรณีีที่มีการปฏิบัติงานร่วมกับหน่วยงานอื่น ไปจนถึงการทำลายพยานหลักฐาน โดยในทุกขั้นตอนต้องมีการบันทึกการดำเนินงานอย่างละเอียด และมีการลงชื่อผู้รับผิดชอบเพื่อเป็นหลักฐาน ทั้งนี้เพื่อให้แน่ใจได้ว่า พยานหลักฐานทางดิจิตัลนั้น ได้รับการปฏิบัติอย่างถูกต้อง และไม่มีการเปลี่ยนแปลงหรือสูญหาย ซึ่งอาจทำให้เกิดความผิดพลาดของผลการตรวจพิสูจน์ได้ (สานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)

การบันทึกแบบฟอร์มที่เรียกว่า “Chain of Custody” หรือ กระบวนการระบุสายความรับผิดชอบการเก็บพยานรักษาพยานหลักฐาน เริ่มตั้งแต่เมื่อพยานหลักฐานชิ้นนั้นถูกเก็บรวบรวม เพื่อสร้างความต่อเนื่องของการครอบครองพยานหลักฐาน โดยข้อมูลที่เจ้าพนักงานผู้ปฏิบัติงานในแต่ละสายงานจำเป็นต้องระบุข้อมูลติดต่อและลายมือชื่อของผู้ส่งมอบพยานหลักฐาน, เหตุผลในการับ ส่งมอบพยานหลักฐาน, วิธีการส่งมอบพยานหลักฐาน เช่น ส่งมอบโดยเจ้าหน้าที่ที่เกี่ยวข้องหรือส่งมอบโดยพนักงานส่งของ และสถานที่จัดเก็บพยานหลักฐาน เป็นต้น (สานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน), ๒๕๖๐)

Chain of custody

Chain of custody หากแปลตรงตัวก็คือ “ห่วงโซ่การคุ้มครองพยานหลักฐาน” หมายถึงข้อมูลที่ระบุรายละเอียดของพยานหลักฐานและการส่งต่อพยานหลักฐานโดยเจ้าหน้าที่ที่รับผิดชอบ ซึ่งจะต้องมีการบันทึกไว้เริ่มตั้งแต่เมื่อพยานหลักฐานชิ้นนั้นถูกเก็บมาจากที่เกิดเหตุมาอยู่ในความครอบครองของเจ้าหน้าที่ที่เกี่ยวข้อง จนถึงเมื่อสิ้นสุดคดี ไว้ในแบบฟอร์ม Chain of custody ซึ่งจะเป็นประโยชน์หากผู้ที่เกี่ยวข้องต้องไปให้การในศาล โดยจะต้องสามารถยืนยันได้ว่า ในระหว่างการครอบครองพยานหลักฐานชิ้นนั้นได้ถูกจัดเก็บไว้ที่ไหน ได้ถูกนำไปทำอะไรบ้าง มีปัจจัยที่จะทำให้พยานหลักฐานเปลี่ยนแปลงหรือไม่ ได้ส่งต่อให้กับบุคคลอื่นหรือไม่ เมื่อวัน/เวลาใด (เรียกได้ว่า จะต้องสามารถระบุตัวตนของผู้รับผิดชอบได้ตลอดเวลาที่ครอบครองพยานหลักฐานนั่นเอง) ตัวอย่างข้อมูลที่จดบันทึกไว้ในแบบฟอร์ม Chain of custody เช่น หากเจ้าหน้าที่ตำรวจเป็นผู้จัดเก็บพยานหลักฐานจากสถานที่เกิดเหตุเอง ก็ต้องระบุชื่อ ตำแหน่ง หน่วยงาน วัน/เวลา รวมถึงข้อมูลสำหรับติดต่อให้ครบถ้วน เมื่อนำพยานหลักฐานกลับมาเก็บไว้ที่ห้องเก็บพยานหลักฐานที่สถานีตำรวจ ก็ต้องจดบันทึกสถานที่และวันเวลารวมทั้งผู้รับผิดชอบไว้ในแบบฟอร์ม หากในวันถัดไปต้องส่งพยานหลักฐานชิ้นนั้นไปให้เจ้าหน้าตรวจพิสูจน์หลักฐานดำเนินการตรวจพิสูจน์ ก็ต้องบันทึกไว้ในแบบฟอร์มว่า ณ วันเวลาใดที่พยานหลักฐานได้เคลื่อนย้ายออกจากห้องเก็บพยานหลักฐานและปัจจุบันอยู่ในความครอบครองของใคร เป็นต้น (ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย thaicert)

(Chain of custody)  คืออะไร

ความต่อเนื่องของการครอบครองรักษาวัตถุพยาน (Chain of custody)  คือลูกโซ่การครอบครองวัตถุพยานคือ การต่อเนื่องของวัตถุพยานที่มีการบันทึกเอกสารและบุคคลที่ได้ครอบครองวัตถุพยาน โดยปกติเป็นลำดับของลายมือชื่อที่แสดงการผ่านจากบุคคลหนึ่งไปยังอีกบุคคลหนึ่ง

ประกอบด้วย

      1. การจัดการ (Taking)  เป็นกระทำโดยผู้เก็บวัตถุพยาน จำแนกวัตถุพยานโดยการทำตำหนิ ระบุวันเดือนปีที่เก็บ และรายละเอียดต่างๆ

      2. การเก็บ (Keeping) เป็นพิสูจน์ให้เห็นว่าการเก็บและครอบครองวัตถุพยานได้กระทำอย่างเหมาะสม ถูกต้องตามหลักวิชาการ

      3. การขนส่ง (Transporting)  ต้องรัดกุม แสดงให้เห็นว่าไม่เกิดการสับสนกับวัตถุพยานอื่น มีการลงทะเบียนถ้าเป็นการส่งทางไปรษณีย์

      4.การส่งมอบ (Delivering)  เป็นการพิสูจน์ว่าของกลางได้ส่งมอบให้กับผู้รับอย่างถูกต้องและเหมาะสม มีหลักฐานแสดงวันเดือนปีที่รับของกลาง และมีรายชื่อผู้รับผิดชอบทุกครั้ง



ที่มา http://www.scdc5.forensic.police.go.th

ในงานนิติวิทยาศาสตร์ขั้นตอนการคุ้มครองหลักฐานเหล่านี้เรียกว่า chain of custody ซึ่งอาจจะแปลได้ว่าห่วงโซ่แห่งการคุ้มครอง  chain of custody นั้นเป็นเอกสารบันทึกกระบวนการเริ่มตั้งแต่ขั้นตอนการเก็บตัวอย่างพยานหลักฐาน การเก็บรักษาคุ้มครองหลักฐานการส่งต่อการรับมอบการนำตัวอย่างหลักฐานไปพิสูจน์ทดสอบการรายงานผลการตรวจสอบไปจนถึงขั้นตอนสุดท้ายในการทิ้งหรือทําลายตัวอย่างพยานหลักฐานเมื่อสิ้นสุดกระบวนการ

เอกสาร   chain   of   custody   นี้ควรมีทั้งเอกสารกลางซึ่งเป็นของแต่ละตัวอย่างพยานหลักฐานและเอกสารซึ่งเป็นบันทึกของแต่ละบุคคลหรือหน่วยงานที่รับผิดชอบดูแลตัวอย่างพยานหลักฐานซึ่งสามารถนํามาใช้สอบทาน (counter check) ซึ่งกันและกันได้   อาจจะเป็นเพียงเอกสารที่บุคคลหรือหน่วยงานนั้นใช้บันทึกในการปฏิบัติงานอยู่เป็นประจำเช่น worksheet, logbook หรือ form ก็ได้

แนวทางการสร้าง  chain of custody 

• ควรสร้างการบันทึกเป็นแบบมาตรฐานในแต่ละหน่วยงานเพื่อให้บุคลากรทุกคนได้นํ าไปใช้โดยที่ก่อนนำไปใช้ควรฝึกอบรมบุคลากรให้เข้าใจและสามารถบันทึกได้อย่างถูกต้องและครบถ้วน
• กําหนดบุคคลที่มีหน้าที่ในการเก็บพยานหลักฐานกําหนดผู้ที่สามารถเข้าถึงพยานหลักฐานกําหนดผู้ที่มีหน้าที่ทดสอบพยานหลักฐานควรกําหนดบุคคลที่มีหน้าที่ให้แน่ชัดและไม่ให้มีคนจํานวนมากเกินจําเป็นควรมีบุคลากรที่เกี่ยวข้องน้อยที่สุดเท่าที่เป็นไปได้-ต้องมีการบันทึกในเอกสารทุกครั้งที่มีการเข้าถึงพยานหลักฐานโดยบันทึกด้วยปากกาไม่ใช่ดินสอเนื่องจากการแก้ไขโดยการลบดินสอนั้นง่ายและตรวจสอบได้ลําบากว่ามีการแก้ไขหรื อไม่-เซ็นชื่อกำกับทุกครั้งเมื่อมีการบันทึก chain of custody 
• รายละเอียดข้อมูลใน chain of custody ต้องประกอบด้วยข้อมูลส่วนหลักฐานเก็บหลักฐานอะไรจากที่ไหนหลักฐานมีลักษณะอย่างไรข้อมูลส่วนบุคลากรใครเป็นคนเก็บเก็บเมื่อใดสถานที่ใดข้อมูลการครอบครอง/การรักษาหลักฐานเมื่อเก็บมาแล้วได้เก็บรักษาอย่างใดเมื่อมีการส่งมอบส่งมอบให้ใคร ที่ใด เมื่อไหร่ หลักฐาน ณ ขณะส่งมอบเป็นอย่างไร  จนถึงขั้นตอนสุดท้ายเมื่อจะทําการทิ้งและทําลายหลักฐานภายหลังนํามาตรวจวิเคราะห์เสร็จสิ้นและภายหลังสิ้นสุดกระบวนการยุติธรรมแล้วต้องระบุว่าหลักฐานก่อนทิ้งทําลายเป็นอย่างไรใครเป็นผู้ทําการทิ้งทําลายทําการทิ้งทําลายเมื่อใดสถานที่ไหน
• หรืออาจจะสรุปเป็น 3 ข้อมูลหลักได้แก่  Identification ,Suitable, Safety

ที่มา: นพ.ณัฐตันศรี  สวัสดิ์  นพ. ธีรโชติ จองสกุล * นพ.กรเกียรติวงศ์ ไพศาลสิน ** 

Chain of custody หรือ “ห่วงโซ่การคุ้มครองพยานหลักฐาน” คือ เอกสารแสดงลำดับการเกิดเหตุการณ์ หรือเอกสารแสดงทุกขั้นตอน ตั้งแต่การยึดเครื่องคอมพิวเตอร์ การดูแลรักษา การควบคุม การวิเคราะห์ และการจัดเก็บหลักฐานทางอิเล็กทรนิกส์ เนื่องจากหลักฐานที่พบสามารถนำไปใช้ในยืนยันได้ในชั้นศาล หลักฐานเหล่านี้จึงจะต้องได้รับการจัดการอย่างระมัดระวัง และรอบคอบเพื่อหลีกเลี่ยงข้อกล่าวหาว่าเป็นหลักฐานที่ปลอมหรือทำขึ้นมาและไม่มีการเปลียนแปลงหรือสูญหาย
ที่มา orionforensics

ห่วงโซ่การคุ้มครองพยานหลักฐาน

ตัวอย่างแบบฟอร์ม  Chain of Custody

ได้แก่ ข้อมูลติดต่อและลายมือชื่อของผู้ส่งมอบพยานหลักฐาน, ข้อมูลติดต่อ และ ลายมือชื่อของผู้รับมอบพยานหลักฐาน, วันที่และเวลาในการรับ-ส่งมอบพยานหลักฐาน, เหตุผลใน การรับ-ส่งมอบพยานหลักฐาน, วิธีการส่งมอบพยานหลักฐาน เช่น ส่งมอบโดยเจ้าหน้าที่ที่เกี่ยวข้อง หรือส่งมอบโดยพนักงานส่งของ และสถานที่จัดเก็บพยานหลักฐาน เป็นต้น

ตัวอย่างแบบฟอร์ม  Chain of Custody

Credit : ภาคผนวก ก. ตัวอย่างแบบฟอร์ม  Chain of Custody ข้อเสนอแนะมาตราฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์หลักฐาน Version 1.0

ข้อมูลที่ต้องระบุใน แบบฟอร์ม Chain of Custody ได้แก่

1. ข้อมูลการติดต่อและลายมือชื่อของผู้ส่งมอบหลักฐาน
2. ข้อมูลการติดต่อและลายมือชื่อของผู้รับมอบหลักฐาน
3. วันที่และเวลาในการรับและส่งมอบหลักฐาน
4. เหตุผลในการรับและส่งมอบหลักฐาน
5. วิธีการส่งมอบหล้ักฐาน เช่น ส่งมอบโดยเจ้าหน้าที่ที่เกี่ยวข้อง หรือส่งมอบโดยพนักงานส่งของเป็นต้น
6. สถานที่จัดเก็บหลักฐาน
7. รายละเอียดที่เกี่ยวกับหลักฐาน เช่น ประเภท ยี่ห้อ รุ่น สี Serial number และสภาพ เป็นต้น

ตัวอย่างหนังสือแสดงการยึดหรืออายัดระบบคอมพิวเตอร์  Download

อาศัยอํานาจตามความในมาตรา  ๔  และมาตรา  ๑๙  วรรคหก  แห่งพระราชบัญญัติว่าด้วยการ กระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.  ๒๕๕๐ 

แบบหนังสือแสดงการยึดหรืออายัดระบบคอมพิวเตอร์

แบบหนังสือแสดงการยึดหรืออายัดระบบคอมพิวเตอร์

แบบหนังสือแสดงการยึดหรืออายัดระบบคอมพิวเตอร์

Single Evidence Form

Multi-Evidence Form

Reference:

https://www.thaicert.or.th/papers/general/2013/pa2013ge012.html

https://www.etda.or.th/terminology-detail/1743.html 

 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics

#digitalforensics #investigation #cybercrime #fraud #ห่วงโซ่การคุ้มครองพยานหลักฐาน