PFD-200: Identifikasi
PFD-200 merupakan prosedur penanganan awal yang dilakukan di lokasi. Tujuan utamanya adalah mengidentifikasi keberadaan perangkat elektronik dan data elektronik untuk menentukan tindakan lanjutan yang tepat — apakah perlu dilakukan perolehan data, pengumpulan perangkat, atau tidak ada tindakan sama sekali. Keputusan yang diambil pada tahap ini akan menentukan jalur prosedural selanjutnya.
PFD-201: Prosedur Penanganan Awal
Section titled “PFD-201: Prosedur Penanganan Awal”Sub-prosedur PFD-201 mengatur langkah-langkah identifikasi di lokasi sebelum tindakan forensik dimulai. Ketepatan observasi dan dokumentasi di tahap ini menjadi fondasi bagi seluruh rangkaian kegiatan forensik digital.
Tujuan Identifikasi
Section titled “Tujuan Identifikasi”Identifikasi di lokasi bertujuan untuk:
- Menemukan dan mengenali seluruh perangkat elektronik dan media penyimpanan data yang relevan.
- Menentukan kondisi perangkat (hidup, mati, sleep, atau hibernasi).
- Menilai urgensi dan prioritas tindakan pada setiap objek.
- Memutuskan jalur prosedural untuk setiap objek berdasarkan kondisi dan konteksnya.
Langkah-Langkah Identifikasi
Section titled “Langkah-Langkah Identifikasi”1. Observasi Awal Lokasi
Section titled “1. Observasi Awal Lokasi”Tim memasuki lokasi dan melakukan pengamatan menyeluruh terhadap:
- Tata letak ruangan dan posisi perangkat.
- Jumlah dan jenis perangkat yang terlihat (komputer desktop, laptop, server, perangkat seluler, media penyimpanan eksternal, perangkat jaringan).
- Keberadaan kabel daya, kabel jaringan, dan koneksi nirkabel.
- Indikator aktivitas pada perangkat (lampu indikator, kipas, layar aktif).
- Potensi bahaya fisik atau hambatan akses.
Prinsip: Amati terlebih dahulu, jangan menyentuh sebelum didokumentasikan.
2. Dokumentasi Kondisi Awal
Section titled “2. Dokumentasi Kondisi Awal”Setiap perangkat yang teridentifikasi wajib didokumentasikan dalam kondisi in situ (sebagaimana adanya di lokasi) meliputi:
- Fotografi — Ambil foto dari berbagai sudut: tampak depan, tampak belakang, tampak samping, dan close-up pada label, nomor seri, port koneksi, serta layar yang aktif (jika ada). Gunakan skala atau penggaris sebagai referensi ukuran untuk objek kecil.
- Videografi — Rekam video sweeping ruangan secara perlahan untuk menangkap hubungan spasial antar perangkat.
- Pencatatan Tertulis — Catat merek, model, nomor seri, warna, kondisi fisik (lecet, retak, stiker), dan posisi setiap perangkat. Gunakan formulir yang telah disediakan.
- Diagram/Sketsa Lokasi — Buat sketsa kasar penempatan perangkat untuk membantu rekonstruksi nanti.
3. Klasifikasi Perangkat
Section titled “3. Klasifikasi Perangkat”Berdasarkan hasil observasi, tim mengklasifikasikan setiap perangkat ke dalam kategori:
| Kategori | Contoh | Prioritas |
|---|---|---|
| Komputer (hidup) | Desktop, laptop, server dengan sistem operasi berjalan | Tinggi — risiko kehilangan data volatile |
| Komputer (mati) | Desktop, laptop, server dalam keadaan tidak menyala | Sedang — data volatile sudah hilang |
| Media penyimpanan portabel | USB flash drive, HDD/SSD eksternal, kartu memori | Bervariasi |
| Telepon seluler | Smartphone, tablet, feature phone | Tinggi — risiko remote wipe atau kunci otomatis |
| Perangkat jaringan | Router, switch, modem, access point | Sedang — dapat berisi log atau konfigurasi |
| Perangkat IoT dan lainnya | Kamera CCTV, smart watch, GPS tracker, printer | Rendah — kecuali relevan secara spesifik |
4. Penentuan Status Perangkat
Section titled “4. Penentuan Status Perangkat”Untuk setiap perangkat, tim menentukan status operasionalnya:
- Hidup — Perangkat menyala, sistem operasi berjalan, layar aktif atau locked.
- Risiko: Data di RAM akan hilang jika perangkat dimatikan; proses enkripsi mungkin aktif; koneksi jaringan memungkinkan penghapusan jarak jauh.
- Tindakan: Jangan dimatikan sebelum keputusan akuisisi diambil (
PFD-301).
- Mati — Perangkat tidak menyala, tidak ada indikator aktivitas.
- Risiko: Enkripsi full-disk mungkin aktif; password BIOS/UEFI mungkin diperlukan.
- Tindakan: Jangan dinyalakan sebelum keputusan akuisisi diambil (
PFD-302).
- Sleep/Hibernasi — Perangkat dalam kondisi daya rendah, RAM tetap dialiri listrik.
- Risiko: Mirip dengan kondisi hidup; data volatile masih tersimpan.
- Tindakan: Perlakukan seperti perangkat hidup.
5. Pengambilan Keputusan Tindakan Lanjutan
Section titled “5. Pengambilan Keputusan Tindakan Lanjutan”Berdasarkan seluruh informasi yang terkumpul, Ketua Tim — berkoordinasi dengan Peminta Bantuan jika diperlukan — memutuskan tindakan lanjutan untuk setiap objek:
| Keputusan | Prosedur Lanjutan | Kondisi Pemicu |
|---|---|---|
| Perolehan data di tempat | PFD-300 (sesuai sub-prosedur) | Data dibutuhkan segera; perangkat dapat diakses di lokasi |
| Pengumpulan perangkat | PFD-400 (Pengumpulan, Pengamanan, Transportasi) | Perangkat perlu dibawa ke lab untuk analisis mendalam |
| Perolehan + pengumpulan | PFD-300 → PFD-400 | Akuisisi di tempat, lalu perangkat diamankan |
| Tidak ada tindakan | — | Perangkat tidak relevan dengan perkara |
Keputusan ini dicatat dan menjadi dasar pelaksanaan prosedur selanjutnya.
Prinsip Utama
Section titled “Prinsip Utama”- Jangan ubah kondisi sebelum dokumentasi: Setiap perubahan yang tidak terdokumentasi merusak integritas bukti.
- Prioritaskan data volatile: Data di RAM, cache, dan koneksi jaringan aktif harus diamankan sebelum hilang.
- Dokumentasikan semuanya: Foto, video, catatan, dan sketsa tidak boleh dilewatkan — apa yang tidak tercatat dianggap tidak pernah ada.
- Rantai komando: Keputusan tindakan lanjutan harus diambil oleh Ketua Tim dengan persetujuan pejabat berwenang.
Contoh Skenario
Section titled “Contoh Skenario”Skenario 1 — Kantor dengan komputer menyala: Tim memasuki ruangan, menemukan dua desktop dalam keadaan menyala dengan layar terkunci, satu laptop dalam keadaan mati, dan tiga USB flash drive di atas meja. Keputusan: lakukan live acquisition pada desktop (PFD-301), kumpulkan laptop untuk akuisisi di lab (PFD-302 via PFD-400), kumpulkan USB flash drive (PFD-303 via PFD-400).
Skenario 2 — Server room: Tim menemukan rak server dengan beberapa mesin menyala. Identifikasi koneksi jaringan dan layanan yang berjalan. Keputusan: lakukan live acquisition secara selektif pada server yang relevan; dokumentasikan topologi jaringan sebelum memutus koneksi.
Formulir Terkait
Section titled “Formulir Terkait”| Kode Formulir | Nama Formulir | Digunakan Pada |
|---|---|---|
F-PFD-001 | Koordinasi dengan Peminta Bantuan | Koordinasi keputusan tindakan |
F-PFD-021 | Lembar Persiapan Kegiatan | Pencatatan observasi dan dokumentasi awal |
Keterkaitan Prosedur
Section titled “Keterkaitan Prosedur”- Sebelum:
PFD-100(Persiapan Kegiatan Forensik Digital) - Sesudah:
PFD-300(Perolehan Data Elektronik) atauPFD-400(Pengumpulan, Pengamanan, dan Transportasi)