Ograniczenia dowodowe w analizie zdarzeń w środowisku chmurowym Microsoft 365

Usługi chmurowe, takie jak Microsoft 365, funkcjonują w oparciu o architekturę rozproszoną, zasadniczo odmienną od klasycznych systemów informatycznych instalowanych lokalnie w infrastrukturze organizacji. Dane użytkowników są przechowywane i przetwarzane w centrach danych należących do dostawcy usługi, natomiast dostęp do nich realizowany jest zdalnie – za pośrednictwem sieci Internet. W praktyce oznacza to, że podmiot korzystający z usługi nie sprawuje fizycznej kontroli nad serwerami ani nośnikami danych, na których informacje są utrwalone.

Konsekwencją takiego modelu jest fakt, że wszelkie informacje o operacjach wykonywanych na danych – w tym logowaniach, dostępie do dokumentów, modyfikacjach plików czy ich pobieraniu – są rejestrowane wyłącznie w systemach dostawcy usługi, zgodnie z jego wewnętrzną architekturą oraz politykami retencji logów. Użytkownik końcowy ani administrator organizacji nie ma dostępu do danych źródłowych w takim zakresie, jaki występuje w przypadku tradycyjnych systemów serwerowych.

Architektura Microsoft 365 opiera się na wielu współdziałających usługach, takich jak systemy tożsamości, poczta elektroniczna, repozytoria dokumentów czy narzędzia komunikacji zespołowej. Każda z tych usług generuje własne zdarzenia systemowe i prowadzi odrębne dzienniki audytowe. Logi te są gromadzone w sposób rozproszony i udostępniane administratorom jedynie w zakresie zależnym od posiadanych uprawnień, rodzaju licencji oraz wcześniejszej konfiguracji mechanizmów audytu.

Jeżeli określone funkcje audytowe nie zostały włączone przed wystąpieniem zdarzenia, dane dotyczące wcześniejszych operacji mogą nie istnieć w formie możliwej do późniejszego pozyskania. Z punktu widzenia postępowania dowodowego oznacza to, że brak logów nie jest skutkiem ich „usunięcia”, lecz naturalną konsekwencją architektury i ustawień środowiska chmurowego.

Istotnym ograniczeniem materiału dowodowego jest również fakt, że usługi Microsoft 365 nie przechowują historii zdarzeń w sposób nieograniczony. Logi uwierzytelniania, dostępu do danych czy operacji administracyjnych podlegają ściśle określonym okresom retencji. Po ich upływie dane są automatycznie usuwane albo agregowane w sposób uniemożliwiający szczegółową analizę pojedynczych zdarzeń.

W praktyce oznacza to, że jeżeli nie dokonano eksportu surowych logów w odpowiednim czasie, po upływie okresu retencji nie istnieje techniczna możliwość odzyskania pełnych informacji o zdarzeniach, które miały miejsce w przeszłości. Ma to kluczowe znaczenie dla oceny możliwości dowodowych w sprawach wszczynanych z opóźnieniem.

Na poziomie interfejsów użytkowych i administracyjnych Microsoft 365 informacje o aktywnościach kont są często prezentowane w formie uproszczonej lub opisowej, np. jako „zalogowano kilka minut temu” czy „ostatnia aktywność: godzinę temu”. Tego rodzaju prezentacja ma charakter informacyjny i operacyjny, a nie archiwalny.

Nie zawsze odzwierciedla ona pełne metadane zdarzeń, takie jak precyzyjny znacznik czasu, strefa czasowa, identyfikator operacji czy kontekst sesji. Z tego względu wydruki lub zrzuty ekranu z paneli administracyjnych nie mogą być traktowane jako pełnowartościowy odpowiednik danych źródłowych zawartych w logach systemowych.

W modelu chmurowym identyfikacja działań użytkownika odbywa się przede wszystkim na poziomie konta, sesji oraz kontekstu uwierzytelnienia, a nie poprzez jednoznaczne przypisanie do konkretnego urządzenia fizycznego. Informacje o urządzeniach mają charakter logiczny i opierają się na danych przekazywanych przez system operacyjny lub przeglądarkę w chwili logowania.

Nie jest to tożsame z kryminalistycznym przypisaniem sesji do konkretnego egzemplarza sprzętu. Bez równoległego zabezpieczenia danych z urządzeń końcowych nie można w sposób jednoznaczny powiązać określonej aktywności w chmurze z konkretnym urządzeniem fizycznym.

Podobne ograniczenia dotyczą analizy adresów IP. Adres IP rejestrowany w logach identyfikuje połączenie sieciowe w danym momencie, a nie osobę fizyczną. W warunkach powszechnego stosowania adresacji dynamicznej, translacji NAT czy dostępu satelitarnego, ten sam adres IP może być używany w różnym czasie przez różne urządzenia i użytkowników.

Bez danych operatorskich, powiązanych z precyzyjnym znacznikiem czasu, adres IP pozostaje wyłącznie elementem kontekstu sieciowego zdarzenia, a nie samodzielnym dowodem przypisania działania konkretnej osobie.

Dodatkowym ograniczeniem architektury chmurowej jest brak pełnej, historycznej mapy uprawnień użytkowników dla każdego momentu w czasie. Uprawnienia do zasobów w Microsoft 365 są przyznawane dynamicznie i mogą ulegać częstym zmianom. System nie przechowuje pełnej historii stanu dostępu, o ile wcześniej nie skonfigurowano zaawansowanych mechanizmów audytu i raportowania.

W konsekwencji, bez odpowiednich logów, nie jest możliwe jednoznaczne ustalenie, jakie dane były faktycznie widoczne lub dostępne dla użytkownika w określonym punkcie czasowym.

Ograniczenia materiału dowodowego w sprawach dotyczących usług chmurowych wynikają z braku fizycznej kontroli nad infrastrukturą, rozproszonego charakteru logów, ograniczonych okresów ich retencji, uproszczonej prezentacji danych w interfejsach użytkowych, logicznego – a nie fizycznego – przypisywania urządzeń oraz zależności od danych, które muszą zostać zabezpieczone we właściwym czasie.

Zrozumienie tych uwarunkowań ma kluczowe znaczenie dla prawidłowej oceny możliwości dowodowych, planowania czynności procesowych oraz właściwego formułowania tez dowodowych w sprawach, w których istotną rolę odgrywają dane pochodzące z usług chmurowych.