Trap and trace

Trap and trace is a legal procedure that allows law enforcement authorities to monitor and record Internet traffic for the purpose of identifying and investigating criminal activity.

 

 

What is trap and trace?

Trap and trace (česky „zachycení a sledování“) je legální vyšetřovací nástroj, který umožňuje orgánům činným v trestním řízení sledovat, odkud pochází digitální komunikace a kam směřuje. Nezaznamenává samotný obsah komunikace, ale metadata – například IP adresy, porty, časy připojení nebo cílové servery. Využívá se při pátrání po kybernetické trestné činnosti, jako jsou hackerské útoky, vydírání nebo nelegální obchod.

 

Where trap and trace is used in practice

Examples of business applications:

  • Sledování útoků typu DDoS nebo ransomwaru – vyšetřovatelé sledují síťový provoz zpět k původci útoku.
  • Mapování komunikace kyberzločinců – určení, odkud byl odeslán škodlivý e-mail nebo k jakým serverům se útočník připojoval.
  • Získání důkazů bez nutnosti narušit obsah komunikace – vhodné tam, kde zákon neumožňuje odposlech.
  • Sledování podezřelých zařízení v podnikové síti – podpora firemních vyšetřování v součinnosti s policií.
  • Pomoc při vyhledávání zcizených dat nebo digitálních stop.

 

Tyto postupy obvykle vyžadují povolení soudu nebo jiný zákonný rámec. Slouží jako důležitý článek v řetězci digitální forenzní analýzy – a často pomáhají určit, kdo, kdy a odkud útočil.

 

How is trap and trace differs from related concepts?

  • Trap and trace vs. wiretap (odposlech):
    • Trap and trace sleduje metadata – bez obsahu.
    • Wiretap zaznamenává celý obsah komunikace (např. telefonní hovory, e-maily).
  • Trap and trace vs. packet capture:
    • Trap and trace je legálně omezený na hlavičky komunikace.
    • Packet capture (např. pomocí Wiresharku) zachytává plné síťové pakety, včetně obsahu.

 

Why it matters:
Trap and trace je méně invazivní než odposlech – ale přesto poskytuje vyšetřovatelům zásadní informace. Jeho použití je právně striktně vymezené, ale pro odhalení útočníka často klíčové.

 

How does the trap and trace in your company?

Steps to consider:

  1. Zajistěte logování síťového provozu (metadata, nikoliv obsah).
  2. Zaveďte bezpečnostní monitoring (např. pomocí IDS, firewallů, SIEM).
  3. Stanovte interní pravidla pro spolupráci s policií v případě incidentu.
  4. Připravte kontaktní osobu pro incident response a komunikaci s OČTŘ.
  5. Uložte a zálohujte síťové logy dle zákonných lhůt.

 

Why It Matters
Firmy často nevědí, jak mohou spolupracovat s vyšetřovateli nebo jaká data jim případně poskytnout. Přitom správné logování a evidence digitálních stop může výrazně zrychlit odhalení pachatele – a ochránit firmu před dalším útokem či právními následky.

back to glossary