數字鑒識已問世至少十年，但在商業領域，這仍是一種相對陌生和未被利用的項目。 

數字鑒識的概念，源自執法部門發現傳統以實體證據（如指紋、彈道等）為主的鑒識方法，已不足以對抗日益數字化的犯罪行為。因此，警方開始發展各種方法取得電腦存放的信息，并設法將這類信息轉為呈堂證據。 

然而到1990年代末，大型商業組織開始了解，他們的電腦也存有許多與電子犯罪和其他潛在職場事件相關的重要信息。這個趨勢，加上信息保護法（Data Protection Act）的實施，和歐洲人權會議（European Convention on Human Rights）要求雇主以公平和正義原則處理雇員相關事務，都讓數字鑒識的概念日益受到重視。

風險咨詢公司QCC Information Security的鑒識運算專家John Douglas表示，最重大的變化發生在2004年，國際聯合打擊網絡兒童色情的計劃Operation Ore，一舉逮捕超過600名英國性犯罪者。

還未達主流階段

Douglas解釋：“雖然數字鑒識已經問世十多年，在Operation Ore之前，一直欠缺組織性的發展。但那次行動過后，警方取得了動力，在每一個轄區設立高科技犯罪小組，大幅改進了刑事鑒識，因為民眾知道那是可行的。”

然而，執法單位之外的市場依然有限。雖然公眾對數字鑒識的認識開始滲透到董事會階層，要達到主流程度的應用仍有待時日，而英國地區采行數字鑒識的單位，包括警方，也不超過300個。

最直接的原因是，數字鑒識不像災難復原和信息備份涉及所有的商業領域，其牽涉的利益范圍相對較窄，且只有在某些特定的情況下才能使用。這代表大多數的技術員工對數字鑒識的認知，均超過他們的資深管理階層。此外，許多組織不愿走上數字鑒識的途徑，是因為害怕一旦發生糾紛將損及名聲。

Douglas說：“我們都聽過投資銀行掩蓋丑聞、付錢請人調查然后堵住漏洞的故事，這都是因為他們不想讓事件曝光。他們不讓警方涉入，因為這樣會變成大新聞，而且（警方）一旦涉入，司法程序可能拖上好多年。”

然而，許多雇員上萬的大型跨國組織，特別是投資銀行和會計業，都傾向自行設立數字鑒識團隊。盡管他們的興趣可能不是追查個別員工的小額欺詐或偷竊信息，這類團隊的確會追蹤和抓出涉及商業間諜、重大及組織型犯罪、大額欺詐、破壞和濫用電郵或網絡存取的歹徒。Douglas說：“盡管這么做十分昂貴，與丑聞一旦登上頭條的名譽損失，或企業因為某件事被法院判賠巨額罰款或賠償金相比，仍是九牛一毛。”

再者，自從美國和歐洲分別施行Sarbannes-Oxley和Basel II法案后，以數字鑒識作為風險管理的公司愈來愈多。例如許多大型投資銀行會在交易員離職時，先復制其硬盤內容，再交接給新的員工。若有任何不法行為，這份拷貝便可在日后的法律行動中作為證據。

但小公司的情況大不相同，他們難以負擔維系鑒識團隊和持續訓練的成本。小公司，若有心進行數字鑒識，通常傾向聘請顧問公司執行 ?C 大公司在進行內部調查時，為表現公平，也可能采取這種作法。但這種途徑有多重的問題，一方面，這類服務所費不貲，單日費率從1,000英鎊起跳，不同的機構價碼各異，最多可能高達四倍。另一方面，調查時間可從查看單一員工電郵的兩小時，到試圖建立惡意對外連線的數個月。

自以為是的非專業人士

因此，英國貿工部現在特別建議民間的中小企業，考慮共創一個2萬至4萬英鎊規模的應急基金，幫助他們更冷靜地解決此類信息安全問題。

但另一方面，民間公司，特別是過去從未涉入任何調查的企業，通常很難找到風評佳、合格且經驗充足的顧問。更糟的是，這個市場目前完全不受管制，任何人只要擁有一臺電腦和少數鑒識工具便可自稱分析師，不必擔心受罰。信息顧問公司Risk Management總經理Charles White表示：“這個領域有很多牛仔（自以為是的非專業人士），當中許多人以自己的車庫為據點，自以為只要把硬盤插入金屬文件柜里然后鎖門就能完成工作。問題是大家以為這是簡單的事，但在眾多好手中，可能只有兩、三個是厲害角色。”

White認為，IT鑒識明顯有成立某種協會或專業組織的必要性。類似律師的法律協會等團體，可監督這項專業的發展，并取得當局授權，對不適任和破壞專業名聲的行為進行處罰。克蘭菲爾大學（Cranfield University）信息安全系主任Brian Collins表示，雖然鑒識人員注冊會議（CRFP）于2005年11月在英國電腦協會的支持下，設立了數字鑒識專家的注冊機制，監定的辦法目前仍在研究中。

身為這項提案的負責人，Collins正試圖召集最負聲望的鑒識專家，一同規劃這類評監的大綱，目標是在未來6至9個月內，完成這項附帶處罰程序的方案。在此同時，有意聘請專家的機關組織，最好參考CRFP少數的注冊會員、向法律協會索取他們的專家作證紀錄、探詢其他人的口碑建議，或最不得已的方法 ?C 上網搜索。

找到鑒識專家后，下一步是確定他們能否勝任眼前的任務。如Douglas所言：“不是任何一位擁有幾年電腦經驗的老練工程師，都能成為好的鑒識分析師。”除了對電腦的深入與高度了解是必要條件，鑒識分析師還需具備調查能力、善于撰寫報告，并有足夠的表達能力和權威，以專家證人的身份出庭作證。也就是說，即使是名校新進畢業的理學士，也不太可能擁有必要的經驗，尤其是面對法庭交叉詰問的狀況。因此，這些人實際上場時，最好都有更老練的調查員指導。

電腦證據非常脆弱

Douglas說：“檢查員必須有豐富的經驗，這就是為什么大多數優秀的人員都是30和40多歲。這并非嚴苛和武斷的偏見，但就我個人的經驗，調查員通常都比較年長，因為年輕人沒有廣泛的人生經驗和深入的IT學識。”另一項注意的要點，是熟知被全球數字鑒識調查用作準標準，并提供四項證據收集暨使用準則的英國警察協會（ACPO）辦案指南。

但在聘請鑒識專家前，組織本身還要注意若干考慮。首先，也是最重要的認知是，電腦證據非常脆弱，很容易因處理不當被損壞。舉例來說，只是打開一臺Windows XP PC，就有將近600個可能是證據的文件被變更，這些東西在法庭上都會喪失證據效力。

一旦懷疑有問題，保存可能的犯罪現場和防止電腦被進一步使用就成為第一要務。若某人不熟練地胡亂操作，試圖自行尋找非法活動的證據，此案將從此無法追訴，因為證據鏈已然被毀。因此，調查員的正常程序，是立刻將該臺主機標示清楚，并移往另一個隔離的房間，以避免在法庭上被控污染證據。接下來，利用特殊的工具復制整個硬盤，并根據顧客設定的參數進行分析。在這個階段需同時建立一檢查日志以紀錄工作過程，并撰寫一份報告，在調查結束后呈交客戶。客戶根據調查結果決定是否采取法律行動，但調查員的基本原則是先假設案件會成立，并從一開始就遵循法庭的嚴格標準行事。

在商業領域，許多這類調查的內容只是搜查電郵和文件，或尋找文件被下載或復制的證據，但也可能包括搜索被刪除的物件，以抓出歹徒試圖湮滅的線索。數字鑒識顧問公司ibas的國際運營部經理Simon Janes指出：“大部分證據的實際價值不是你在屏幕上看到的，而是存在系統檔和未劃定的區域，所以你必須知道自己在作什么。”進行這類調查的另一個問題，是可能造成運營中斷，尤其當涉案的電腦不只一臺，因此組織必須衡量確實有必要為此作出相當程度的犧牲。

至于未來的發展，未來3到5年，隨著風險控管對企業的重要性日增，各種規模的公司都將發現意外事件管理不再足以應付多變的環境，數字鑒識勢將更加普遍。最根本的原因是移動電話、PDA和全球定位系統等數字科技前所未見地融入民眾的日常生活中，因此能夠分析信息并確實重建事件發生狀況的專家，只會愈來愈受歡迎。

如同Douglas所斷言：“當后果的風險愈大，董事會自然希望布署所有可用的工具，以便控制情勢。”