Viena prioritetinių L3CE veiklos sričių yra mokymai kuriamos ir kaupiamos kompetencijos ribose. Su mokymais susijusios veiklos apima reikiamų srities žinių bei įgūdžių vystymo poreikio nustatymą, kitų šalių parengtų mokymo programų adaptavimą ir pritaikymą, mokymų programų kūrimą bei jų akreditavimą, keitimąsi mokymo programomis su kitomis šalimis, dėstytojų ruošimą. Centras, siekdamas kurti bei kaupti kompetenciją, taip pat rengia ir viešina bendrą specialistų duomenų bazę.
1. Mokymo programa „Tapatybės vagystės elektroninėje erdvėje. Teisiniai aspektai“
Mokymo programa skirta teisėtvarkos atstovams, atliekantiems tapatybės vagysčių tyrimus elektroninėje erdvėje. Teisėtvarkos atstovai, siekiantys sėkmingai tirti tapatybės vagysčių elektroninėje erdvėje nusikaltimus, turėtų būti susipažinę su tokių nusikaltimų samprata, metodais, formomis bei teisiniais aspektais.
Mokymo programa paremta teisinio reguliavimo analize ir praktika Europos Sąjungos bei Lietuvos atitinkamose institucijose bei skirta ikiteisminio tyrimo tyrėjams, vykstantiems į įvykio vietą ir dirbantiems su tapatybės vagysčių nusikaltimo bylomis. Mokymo kursai apima Europos Sąjungos (ES), Lietuvos (LT) teisės aktus, LT ir ES teismų procedūras, atvejų analizes ir geriausių praktikų pavyzdžius.
Į mokymo programą įtrauktos tokios temos kaip asmens tapatybė ir jos identifikavimas, asmens duomenims kylantys pavojai elektroninėje erdvėje, asmens tapatybės vagystės sąvoka ir koncepcija bei su tapatybės vagystėmis susiję pavojai, rezultatai ir tendencijos, tapatybės vagysčių formos ir metodai, tapatybės vagysčių elektroninėje erdvėje subjektai ir aukos, teisinis tapatybės vagysčių elektroninėje erdvėje reguliavimas, teisinis sąryšis tarp elektroninio dokumento ir elektroninės informacijos.
Pagal asmens tapatybės ir jos identifikavimo temą nagrinėjama asmens tapatybės apibrėžimas, traktavimas ir koncepcija, valstybės nustatomas tapatybės identifikavimas, būdai ir priemonės leidžiančios identifikuoti elektroninė erdvėje, detaliau nagrinėjami pavojai asmens duomenims elektroninėje erdvėje, pasekmės ir tendencijos. Viena didžiausių grėsmių elektroninėje erdvėje yra susijusi su elektroninės asmens duomenų vagystėmis. Asmens tapatybės vagystės elektroninėje erdvėje yra daug platesnis ir sudėtingesnis nusikaltimas: elektroninė tapatybė naudojama vis plačiau, o prisijungimas prie elektroninėje erdvėje identifikuojant asmens tapatybę ir socialinių tinklų naudojimas sparčiai auga. Netikros ar vogtos elektroninės tapatybės paklausa nuolat auga, nes daugėja privataus ir viešojo sektoriaus teikiamų e-paslaugų spektras ir skaičius sparčiai auga ir grėsmės finansinei elektroninei tapatybei tampa vienu vienomis pavojingiausių ir lemiančių didžiausią finansinę žalą.
Asmens tapatybės vagysčių formos ir metodai dėl vis plačiau naudojamos elektroninės erdvės kinta ir įvairėja bei labai priklauso nuo taikomų technologijų pokyčių. Šiuo metu dažniausiai sutinkamos tokios asmens tapatybės vagysčių formos: medicininė tapatybė, kompiuterinė tapatybė, tapatybė susieta su vairuotojo pažymėjimu, internetinė tapatybė, finansinė tapatybė, socialinės draudimo tapatybė, bankinė tapatybė, korporatyvinė tapatybė, kriminalinė tapatybė, su pasu ar ID kortele susieta tapatybė bei pavogtos tapatybės klonas. Pagrindiniai tapatybės vagysčių metodai slaptažodžio „žvejyba“ (phishing), falsifikuoti internetiniai puslapiai (scam), nepageidaujamos elektroninio pašto žinutės/ brukalas (spam), apgaulės taktika/ apsimetimas kitu (spoofing), šnipinėjimo programinė įranga (spyware), apgaulinga IP taktika (pharming), pakartojimo ataka (replay attack), elektroninių šiukšlių rinkimas (dumpster diving), netikro profilio sukūrimas socialiniuose tinkluose (false profile in a social network).
Tapatybės vagystės elektroninėje erdvėje subjektai ir aukos potemėje pateikiamas šių subjektų klasifikavimas, veiksniai motyvuojantys padaryti tokius nusikaltimus, asmens tapatybės vagystės elektroninėje erdvėje aukos apibrėžimas ir koncepcija, būdai, kaip ir kada aukos sužino apie pavogtą tapatybę ir kokios galėtų būti taikomos prevencijos priemonės.
Teisinio reguliavimo tema apima pagrindinius ES tiesioginio ir netiesioginio teisinio reguliavimo aspektus ir dokumentus tokius kaip Kibernetinių nusikaltimų konvenciją, Asmens apsaugos automatizuotai surenkant asmens duomenis (Strasbūro 1981 m. konvencija), 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvą 95/46/EB dėl asmens apsaugos tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo, keletą komunikatų bei reglamentų, ypač reglamentus susijusius su identifikavimu elektroninėje erdvėje, asmens duomenų teisinės apsauga bei elektroninės informacijos saugumu (kibernetiniu saugumu). Kai kurie teisiniai principai yra įtvirtinti ES Kibernetinio saugumo 2013 m. strategijoje „Atvira, saugi ir apsaugota elektroninė erdvė“. Be to, išaiškinami svarbiausių institucijų, veikiančių ES mastu kibernetinio saugumo srityje, – tokių kaip ENISA, EUROPOL ir EDA, vaidmenys ir funkcijos.
Tuo tarpu potemė, skirta teisiniam reguliavimui Lietuvoje, nagrinėja Lietuvos Respublikos kibernetinio saugumo 2014 m. įstatymo, Saugumo elektroninėje erdvėje 2011-2019 m. programos nuostatas bei pagrindinių Lietuvos institucijų kibernetinio saugumo srityje, pirmiausiai Nacionalinio kibernetinio saugumo centro, vaidmenis ir funkcijas.
Nagrinėjant atsakomybę už tapatybės vagystes atskleidžiami tokie aspektai kaip tapatybės vagysčių elektroninėje erdvėje kriminalizavimas ir Lietuvoje taikomų teisinių nuostatų palyginimas, pagrindinės Lietuvos Respublikos baudžiamojo kodekso (toliau – Kodeksas) nuostatos, taikomos šio tipo nusikaltimams ir skirtinguose teisinio proceso etapuose: pvz., informacijos apie tapatybę rinkimas yra laikomas nusikaltimu pagal Kodekso 166, 167, 198, 198(1) ir 214 straipsnius, tapatybės informacijos naudojimas ketinant padaryti nusikaltimą – pagal Kodekso 182, 207, 215 ir 300 straipsnius, o tokios informacijos saugojimas ir platinimas – pagal Kodekso 198 ir 214 straipsnius.
Tapatybės vagysčių prevencijos potemėje nagrinėjamos šių nusikaltimų prevencijos priemonės ir būdai, apsaugos nuo tapatybės vagysčių elektroninėje erdvėje lygiai, 21 taisyklė prevencijai, prevencijos privačiame ir viešajame sektoriuose skirtumai, ‚Raudonosios vėliavos“ (Red flag) taisyklė, neformalios socialiniai dariniai ir organizacijos padedančios pasisaugoti nuo tapatybės vagysčių elektroninėje erdvėje , skirtingi prevencijos ir apsaugos lygiai tarptautiniu, dvišaliu ar regioniniu mastu.
Nagrinėjant teisinę sąsają tarp elektroninio dokumento ir elektroninės informacijos atskleidžiami tokie aspektai kaip elektroninių įkalčių įvertinimas ir jų įrodomoji vertė, įkalčių patikimumas teisme. Todėl pateikiami metodai, apibrėžiantys elektroninės informacijos ir duomenų sukūrimą, saugojimą ir perdavimą, užtikrinantys šios saugomos informacijos ir duomenų integralumą, autentiškumą, patikimumą, tinkamumą naudoti bei kitas svarbias savybes. Šios savybės yra būdingos tiek fiziniam dokumentui, tiek elektroniniam dokumentui ar informacijai elektroninėje erdvėje, todėl elektroninis dokumentas, elektroninė informacija ir elektroniniai duomenys gali būti pateikiami ir naudojami kaip įkalčiai teisminiame procese.
Mokymo programa pritaikyta tiek mokymuisi klasėje, tiek nuotoliniu būdu.
2. Mokymo programa „Įvykio vietos tyrimas virtualioje aplinkoje ir paslėptos nusikaltimo informacijos nustatymas ir surinkimas“
Mokymo programa skirta teisėtvarkos atstovams, atliekantiems nusikaltimų tyrimus ir įvykių vietos tyrimus virtualioje ir debesų kompiuterijos aplinkoje.
Teisėtvarkos atstovai, siekiantys sėkmingai tirti kibernetinius nusikaltimus, privalo žinoti pagrindinius virtualios ir debesų kompiuterijos aplinkos veikimo principus, nusikalstamos informacijos slėpimo galimybes, kibernetinių nusikaltimų įrodymų surinkimo metodus virtualioje ir debesų kompiuterijos aplinkoje. Šia mokymo programos tikslas – suteikti žinių, kurios padėtų sumažinti tarptautinių kibernetinių nusikaltimų žalą laiku sustabdant tokius nusikaltimus. Mokymo programa apima kibernetinio saugumo spragų analizę, nusikaltimus elektroninėje ir debesų kompiuterijos aplinkoje, taikomas praktikas ES ir LT, patirtis kuriant mokymo programas.
Į šią mokymo programą įtrauktos tokios temos kaip virtualizacijos ir debesų kompiuterijos pagrindinės koncepcijos, virtulizacijai kylantys iššūkiai, virtualizuotų technologijų naudojamų asmnimiams ir įmonių reikmėms kriminalistinis tyrimas, šifravimo pagrindai, steganografija, duomenų bazės ir virtualizacijos technologijos, naudojamos nusikaltimams vykdyti.
Aptariant virtualizacijai kylančius iššūkius nagrinėjamas virtualizacijos technologijų taikymas, paaiškinama, kas laikoma duomenimis, kaip jie valdomi, ką reiškia kriminalistinis tyrimas ir kaip tirti duomenis debesyse.
Nagrinėjant virtualizuotų technologijų naudojamų asmeniniams ir įmonių reikmėms kriminalistinio tyrimo aspektus pateikiama, kaip nustatyti virtualizuotų technologijų naudojimą atliekant in-situ apžiūrą. Išskiriamos dažniausiai sutinkamos asmeninio naudojimo virtualizacijos technologijos (Google Drive, Dropbox, OneDrive, iCloud, Box, Spideroak ir t.t.), kaip atlikti informacijos surinkimą iš tipinių virtualizuotų aplinkų, dažniausiai naudojamos virtualizuotos paslaugos (elektroninis pastas, kalendoriai, dokumentai, skaičiuoklės, muzikos, nuotraukų, video bylos, skaidrės, dalijamasis išteklių bylomis, media transliacijos, darbastalio taikomosios programėlės ir prieigos), kaip organizuotos pareigos teisės, kaip vykdoma vartotojo autentifikavimą, kaip naudojant esamą informaciją galima surinkti papildomos informacijos (naudojantis kitomis vartotojo paskyromis), dažniausiai naudojamos virtualizacijos technologijos turinčios mobilią prieigą pagal mobilių technologijų grupes (iPhone, iPad, Android, Windows Mobile, BlackBerry, Mobile Browser), dažniausiai naudojamos socialinio interneto paslaugos, kurias galima naudoti kaip virtualizacijos technologijas (Facebook, Instagram ir pan.), didelių apimčių duomenų surinkimas. Nuotolinės prieigos kriminalistinių tyrimų duomenų saugyklos naudojimas, tipinės problemos ir jų sprendimo scenarijai.
Nagrinėjant kriminalistinio tyrimo aspektus, kaip virtualizuotos technologijos naudojamos korporatyviniams tikslams, pristatomos dažniausiai sutinkamos verslo naudojimo virtualizacijos technologijos, tokios kaip Citrix, Vmware, Microsoft virtuali aplinka ir kaip atliekama paieška šiose virtualiose aplinkose (XenServer, ESXi, Hyper-V), o taip pat, kaip elgtis aptikus virtualizacijos technologijų naudojimą atliekant įmonės in-situ apžiūrą.
Pateikiant šifravimo pagrindus pristatomi duomenų šifravimo metodai ir priemonės, potencialiai naudojamos nusikalstamos informacijos paslėpimui kompiuteriuose ir virtualioje aplinkoje, metodai ir priemonės skirtos šifruotų duomenų ir failų aptikimui, gavybai ir saugojimui tolesniam nusikaltimų tyrimui.
Pateikiant steganografijos pagrindus pristatomi steganografijos metodai ir priemonės, potencialiai naudojamos nusikalstamos informacijos paslėpimui kompiuteriuose ir virtualioje aplinkoje, metodai ir priemonės skirtos steganografijos metodais paslėptų duomenų ir failų aptikimui, gavybai ir saugojimui tolesniam nusikaltimų tyrimui.
Potemėje apie duomenų bazes pateikiama, kaip atliekamos duomenų bazės ekspertizės.
Nagrinėjant duomenų bazėmis paremtų IS pažeidžiamumą pagrindinis dėmesys skiriamas SQL injekcijoms, duomenų bazių pažeidžiamumo tyrimui ir nusikaltimų pėdsakų paieškai.
Virtualizacijos technologijų panaudojimo nusikaltimams elektroninėje erdvėje potemėje pristatoma, kas tai yra DDOS, kaip virtualizacijos technologijų panaudojamos nusikaltimams elektroninėje erdvėje, kas yra anonimizacija.
Mokymo programa pritaikyta tiek mokymuisi klasėje, tiek nuotoliniu būdu.
3. Mokymo programa “Įvadas į nusikaltimų elektroninėje erdvėje tyrimą”
Mokymo programa adaptuota pagal Dublino Koledžo Universiteto Kibernetinio saugumo ir kibernetinių nusikaltimų tyrimo centro (Airija) programą kartu su L3CE, Ekonominės konsultacijos ir tyrimai bei Vilniaus apskrities Vyriausiuoju policijos komisariatu (VPK).
Mokymo programa sukurta ir pritaikyta teisėsaugos pareigūnams, tiriantiems ar prisidedantiems prie nusikalstamo informacinių ir komunikacijos technologijų naudojimo tyrimo. Pagrindinis mokymo programos uždavinys – suteikti dalyviams žinių ir supratimą apie technologijų tinkamą ir netinkamą panaudojimą, kibernetinių nusikaltimų įkalčių surinkimo technikas, instrukcijas kaip efektyviai reaguoti į pranešimus apie internetinius nusikaltimus. Mokymų dalyviai taip pat supažindinami su įkalčių surinkimo ir apdorojimo procesu.
Mokymo programa “Įvadas į nusikaltimų elektroninėje erdvėje tyrimą” (toliau – Įvadas) sistemiškai supažindina kaip veikia kompiuteriai, supažindina su terminologija, kibernetinių nusikaltimų verslo modeliu, Tor ir giliuoju internetu (Darknet), psichologija, susijusi su vaikų išnaudojimu, kaip į kompiuterį patenka kenkėjiškos programos, kaip naudojamas kriminalistinis skaitmeninis tyrimo įrankis, pateikiami paieškos pradmenys tyrėjams, įjungtų sistemų analizė tyrėjams, pristatomi reikalavimai kibernetinių nusikaltimų tyrimams, kaip veikia tinklas, kokie tinklo pagrindai, IP adresai ir domenai, kas yra elektroninio pašto antraštės, ASP užklausos, ebay& paypal, Facebook, Google paieška ir kaip tai gali būti panaudota aukoms paveikti ir nusikaltimams padaryti. Perteikiamos žinios papildomos kriminalistinio skaitmeninio įrankio veikimo demonstracija, kuri padeda išmokti aptikti nusikaltimų elektroninėje erdvėje pėdsakus ir surinkti kibernetinius įrodymus. Įvadas taip pat apima OSINT pagrindus – kas yra OSINT, kokie OSINT įrankiai ir ištekliai, exif, pagrindinio OSINT principo „sek paskui pinigus“ išaiškinimas bei kartu pateikiama OSINT atvejo studija bei pavyzdžių analizė.
Mokymo programa apima platų spektrą bazinių žinių, pradedant nuo įvado į kompiuterius, išorinius įrenginius ir tinklą, įvairius šiuolaikinio kompiuterio komponentus, kompiuterių ryšius ir tinklus, pristatant naudojamas pagrindines skaičių sistemas, terminologiją, atakų vektorius ir sukčiavimo schemas, kibernetinių nusikaltimų verslo modelius ir pan.
Pateikiami pagrindai apie gilųjį internetą, pogrindinį internetą, Tor, kaip jis veikia, kokios yra paslėptosios Tor teikiamos paslaugos, kaip pasiekiamas Tor ir kokie naudojami kriminalistiniai įrankiai Tor tyrimui.
Įvade į psichologiją ir vaikų seksualinį išnaudojimą pateikiamos nusikaltėlių internete ypatybės ir elgsena, vaikų seksualinio išnaudojimo tipai, prielaidos vaikų seksualiniam išnaudojimui ir kaip tai pasireiškia internete.
Mokymų metu pristatomas vienas svarbiausių procesinių dokumentų – apžiūros ir arešto gairės, kurios paaiškina elektroninių įkalčių paėmimą, demonstruoja, kaip nustatyti, paimti ir transportuoti elektroninius įkalčius, kaip identifikuoti kilnojamas ir nešiojamas laikmenas, pristato gerosios praktikos principus paimant elektroninius įkalčius. Detaliai pristatomi procesiniai žingsniai, apimantys pasirengimą apžiūrai, nusikaltimo įvykio vietos tyrimą ir susijusį teisinį reguliavimą, ypatingą dėmesį skiriant nusikaltimo vietos tyrimo procesui.
Atskira tema skirta LDF (įjungtų sistemų duomenų ekspertizė) tyrėjams, kurioje pateikiama, kaip ištirti istorinius duomenis iš interneto naršyklių, kaip atlikti pagrindinius įjungtų sistemų tyrimo veiksmus, ką daryti ir ko nedaryti, kas yra ACPO gairės, kaip protokoluoti veiksmus ir užtikrinti atitikti teisės aktams, kas yra “pomirtinis sistemų” (“šaltasis”) tyrimas. Dėstoma medžiaga yra papildyta praktinėmis užduotimis, skirtomis įjungtų sistemų ir privataus naršymo tyrimui pagal įvairias interneto naršykles, elektroninių laiškų ir internetinių pokalbių analizei ir įrodymų surinkimui.
Taip pat pateikiami šifravimo pagrindai – žinios ir stebėjimas. Pateikiama šiai žinių temai skirto skaitmeninio įrankio demonstracija ir praktinė užduotis.
Interneto tematika įgalina mokymo dalyvius suprasti interneto veikimo principus, interneto protokolus, TCP/IP architektūrą ir protokolų lygius, IP adresus, tinklo adresavimą, tinklo adresavimo galimybes, suprasti, kas yra HTML failas, kaip jis sukuriamas ir atidaromas, kas yra mypage.html, tinklalapiai, internetinės naršyklės ir interneto serveriai, domenai, kokios yra svetainių prieglobos (hosting) galimybės. Su interneto tematika susijęs tinklo tyrimas apima elektroninio pašto antraštes, online grupes ir socialinius tinklus, naujienų grupes ir pan. Tyrimo socialiniuose tinkluose tema sutelkta į Facebook tyrimą – nuo duomenų užklausos iki įkalčių surinkimo.
Įvade į asmens tapatybės vagystes pateikiama šio nusikaltimo sąvoka, kaip vykdomos tokios vagystės ir kaip sukčiaujama pasinaudojus vogta ar falsifikuota tapatybe, kokios yra tapatybės vagystės rūšys ir labiausiai paplitusios sukčiavimo schemos, kaip apsisaugoti nuo tapatybės vagystės. Ši tema apima ir praktinės užduoties atlikimą reaguojant į incidentą. Šią temą papildo sukčiavimui aukcionuose ir interneto mokėjimo sistemose tema.
Įvadas į OSINT apima OSINT sąvokos pateikimą, atskleidžia OSINT svarbą teisėsaugai, pateikia OSINT šaltinius, patarimus sėkmingam tyrimui, saugiam naršymui ir OSINT įkalčių surinkimui. OSINT temai skirta praktinė užduotis.
Mokymo programa pritaikyta tiek mokymuisi klasėje, tiek nuotoliniu būdu.
4. Mokymo programa „Išorinių laikmenų apžiūra“
Mokymo programa adaptuota pagal Dublino Koledžo Universiteto Kibernetinio saugumo ir kibernetinių nusikaltimų tyrimo centro (Airija) programą kartu su L3CE, Ekonominės konsultacijos ir tyrimai bei Vilniaus apskrities Vyriausiuoju policijos komisariatu (VPK).
Mokymo programa sukurta ir pritaikyta teisėsaugos pareigūnams, atliekantiems išorinių laikmenų, galimai naudotų nusikalstamam informacinių ir komunikacijos technologijų naudojimui, apžiūrą. Pagrindinis mokymo programos uždavinys – suteikti dalyviams žinių ir supratimą apie skaitmeninių pėdsakų rinkimo būdus ir įrankius, apie nuoseklius etapus ir kiekvieno etapo veiksmus, kaip tinkamai pasirengti ir vykdyti skaitmeninių pėdsakų rinkimą, kaip teisingai užfiksuoti ir dokumentuoti surinktus įkalčius, kad jie galėtų būti pripažįstami teisminiame procese.
Supažindinant su skaitmeninių pėdsakų rinkimo būdais pateikiama išsami informacija su praktinėmis užduotimis apie kopijas, atsargines kopijas (angl. backup) ir atvaizdus, supažindinama su maišos reikšme (MD5, SHA1), duomenų apie duomenis (angl. metadata) surinkimu ir pateikimu, kaip parengiama ataskaita (angl. report).
Pristatant skaitmeninių pėdsakų rinkimo įrankius išmokoma, kaip parengti tarnybinį kompiuterį pėdsakų surinkimui, kaip paruošti aparatinę ir programinę įrangą, apsaugančią nuo informacijos pakeitimo, supažindinama, kaip veikia programinė įranga, skirta informacijos analizei.
Išsamus ir nuoseklus veiksmų planas, apimantis pasirengimo, vykdymo ir baigiamąjį etapus, leidžia teisėsaugos pareigūnams teisingai surinkti skaitmeninius įkalčius, nepadaryti klaidų, nepakeisti informacijos, kad ją būtų galima panaudoti kaip įkaltį tolesniame tyrime ir teisme, (jei taikoma) ir nepraleisti svarbių įkalčių. Tai taip pat leidžia standartizuoti procesinius veiksmus visose proceso grandyse ir apmokyti kuo daugiau pareigūnų visoje Lietuvoje. Ypač detaliai išdėstomas vykdymo etapas, kurio metu didelis dėmesys skiriamas informacijos apsaugojimui, nuskaitymui ir tikslios kriminalistinės kopijos emuliacijai. Pristatomi specifiniai veiksmai, atliekami priklausomai nuo išorinės laikmenos tipo, pvz., apžiūrint optinius diskus svarbu žinoti, kaip nuskaitomi pažeisti optiniai diskai, kuo skiriasi R (recordable) ir RW (Rewrittable) optiniai diskai, kokios yra optinių diskų failinės sistemos ir kas yra paleidžiamieji optiniai diskai. Apžiūrint USB įrenginius svarbu žinoti, kas yra ir kaip veikia USB atmintukai, atminties kortelės, išoriniai standieji diskai, failinės sistemos (FAT, FAT32, NTFS, EXT4, paslėpti skirsniai, paleidžiamieji įrenginiai).
Kadangi skaitmeninių nusikaltimų pėdsakų gali būti ir kituose įrenginiuose, naudojamuose kaip išorinės laikmenos, pvz., mobilaus ryšio telefonuose, vaizdo fiksavimo įrenginiuose, garso įrašymo grotuvuose, žaidimų kompiuteriuose (konsolėse) ir pan., todėl mokymų dalyviai buvo apmokyti, kaip surinkti skaitmeninius įkalčius ir iš šių įrenginių.
Papildomos informacijos apie nusikalstamą veiklą elektroninėje erdvėje ir paliktus skaitmeninius pėdsakus gali suteikti programų analizė ir vartotojo sukurtų failų apžiūra. Atliekant programų analizę pagrindinis dėmesys skiriamas žurnalizacijos failų analizei ir laikinųjų failų apžiūrai. Atliekant vartotojų sukurtų failų apžiūrą, tikrinami žiūrėti ar ieškoti failai, tikrinama, kokie video failai buvo žiūrėti ar ieškomi, išmokoma, kaip atstatyti sunaikintus failus, ieškoti užšifruotų ar paslėptų failų, kaip turėtų būti atliekama virtuali diskų apžiūra.
Baigiamajame etape didžiausias dėmesys skiriamas teisingam ir nuosekliam apžiūros protokolo surašymui, kad surinkti įkalčiai galėtų būti toliau panaudojami tyrimo ir teisminiame procese. Pagal apžiūros rezultatus gali būti skiriamas tolesnis išsamus IT tyrimas, todėl mokymų dalyviai buvo apmokyti, kaip teisingai surašyti IT tyrimo skyrimą – kokie faktai turi būti užfiksuoti, į kokius klausimus turi būti atsakyta ir t.t.
Mokymo programa pritaikyta tiek mokymuisi klasėje, tiek nuotoliniu būdu.