De wereld van Digital Forensics
Het veiligstellen, extraheren en analyseren van gegevens op een forensisch verantwoorde wijze, wordt ook wel Digital Forensics genoemd. Onderzoekers, digitale rechercheurs en first responders die zich bezighouden met Digital Forensics worden dagelijks met vele uitdagingen geconfronteerd. De grote verscheidenheid aan gegevensdragers, de immense hoeveelheid data en de verschillende data formats zijn slechts enkele voorbeelden hiervan.
Met drie van onze adviseurs uit Zweden, Denemarken en Nederland bespraken we de uitdagingen en kansen op het gebied van Digital Forensics. Laten we beginnen met een korte introductie van deze collega’s:
André Hakkers is al meer dan 20 jaar verantwoordelijk voor de Forensics afdeling bij DataExpert te Veenendaal, Nederland. Hij behaalde in de loop der jaren veel verschillende certificeringen zoals ISC2-CISSP en volgde verscheidene forensische producttrainingen.
Christian Almstedt woont en werkt in Linköping, Zweden en is sinds 2019 verantwoordelijk voor de Zweedse vestiging van DataExpert. Hij beschikt over een Master of Science en heeft daarnaast Internet Security op universitair niveau gestudeerd.
Jesper Eirup Sielemann werkt al 10 jaar in de forensische branche. Hij is afgestudeerd in computerwetenschappen en heeft 3 ½ jaar als Battlefield Medic gewerkt bij het Royal Danish Medical Corps. Hij is in 2021 bij DataExpert Denemarken komen werken toen DataExpert de IT-Forensic afdeling van Hammerich overnam.
Laten we de wereld van Digital Forensics eens nader bekijken en analyseren hoe deze eruit ziet in Denemarken, Zweden en Nederland.
Wie zijn de digitaal rechercheurs?
DataExpert biedt een zeer brede mix van producten en daardoor zijn we in staat veel verschillende klanten te ondersteunen. Het merendeel van de Digital Forensics producten die we in alle drie de landen leveren, komen terecht bij opsporingsinstanties zoals de nationale politie, lokale politiedistricten, defensie en de belastingdienst. Daarnaast zien zowel André als Christian een toename in het gebruik van forensische tools binnen het bedrijfsleven, verzekeringsmaatschappijen en het bankwezen. Jesper voegt aan deze lijst nog de telco’s, accountancy en securitysector toe.
Welk type forensische onderzoek komt het meest voor?
"Toen ik begon in de forensische branche, waren computers de belangrijkste bron van informatie voor digitaal rechercheurs. Computers zijn vandaag de dag nog steeds belangrijk, maar mobiele apparaten vormen tegenwoordig de basis voor de meeste onderzoeken", zegt André. Jesper en Christian kunnen zich allebei vinden in deze uitspraak. Behalve e-mail en documenten is op mobiele apparaten interessante data zoals GPS-gegevens, foto's, video’s en chatcommunicatie terug te vinden.
Verder benoemen ze alle drie Cloud onderzoek als een opkomend specialisme binnen Forensics omdat ook in de cloud steeds meer informatie wordt opgeslagen. Jesper: "Cloud Forensics is geen nieuwe trend, maar in sommige gevallen is de reikwijdte van het onderzoek nog steeds beperkt tot onsite data. Dit wordt veelal van case tot case bekeken. Ook verschilt de wetgeving rondom Cloud Forensics van land tot land. In Denemarken is de cloud een integraal onderdeel van elk onderzoek - in ieder geval voor opsporingsinstanties." Christian voegt toe: "In Zweden is er veel regelgeving met betrekking tot onderzoeken in de cloud, daarom is Cloud Forensics in tegenstelling tot Denemarken waarschijnlijk het kleinste onderdeel van de Zweedse forensische business." Ook al beamen ze dus alle drie het toenemend belang van de Cloud, door de regelgeving is de toepassing van Cloud Forensics vaak nog beperkt.
Verder benadrukt André dat CCTV in Nederland ook een steeds belangrijker onderdeel uitmaakt van digitaal onderzoek. André: "Tegenwoordig zijn er overal camera’s die mogelijke incidenten vastleggen. De analyse van CCTV beelden wordt steeds belangrijker en tooling zoals Amped FIVE helpt rechercheurs bewijs te vinden in het videomateriaal." Daarnaast merkt André ook op dat Automotive/ Car Forensics een wezenlijk deel is geworden van digitaal onderzoek omdat auto's steeds meer intelligente technologie bevatten.
Wat zijn populaire forensische oplossingen?
Vanwege de grote verscheidenheid aan gegevensdragers gebruiken digitaal rechercheurs vaak meer dan één tool. Dit stelt ze in staat om een waterdichte bewijsvoering te leveren. Christian: "De meeste klanten gebruiken 2-3 tools ter verificatie van de resultaten. Ook omdat elke tool over zijn eigen specifieke functionaliteit beschikt". Een zeer populaire softwareoplossing in Nederland, Denemarken en Zweden is Magnet AXIOM. Jesper: "De grote functionaliteit in combinatie met het gebruiksgemak en de opties voor het doorzoeken van het bewijsmateriaal is de reden dat veel opsporingsinstanties kiezen voor AXIOM." Naast AXIOM benoemt Jesper ook EnCase als één van de facto standaarden in de opsporingswereld in Denemarken. Zowel André als Christian voegen Oxygen Forensic Detective toe aan deze lijst van populaire oplossingen. André: “Naast het zeer gewaardeerde XRY van MSAB en Cellebrite's UFED, wordt Oxygen Forensic Detective steeds populairder voor Mobile Forensics en Cloud onderzoek.”
Buiten de hierboven genoemde tools worden producten als FTK en Intella vaak ingezet voor onder meer complexe e-mail analyse.
Wat is er veranderd op digitaal forensisch gebied?
Alle drie de sprekers zijn ze het erover eens dat de belangrijkste verandering in digitaal onderzoek de omschakeling is van PC naar Mobile en Cloud. Jesper: "Dit betekent dat de digitaal rechercheurs niet alleen over globale kennis moeten beschikken van digitaal forensisch onderzoek, maar ook tools en training nodig hebben om complexe onderzoeken uit te kunnen voeren in meerder disciplines."
Naast de verscheidenheid aan gegevensdragers is ook de enorme hoeveelheid data een echte verandering. Christian: "Door deze verandering is het voor opsporingsambtenaren belangrijker dan ooit om de juiste tools te hebben zodat het snel prioriteren van hun werk mogelijk is”. "Verder zien we ook dat data steeds vaker versleuteld is. Gelukkig zijn er steeds meer mobile forensics soft- en hardware oplossingen om de encryptie te omzeilen," voegt André toe.
Wat is er uniek aan de werkwijze van Digital Forensics in jullie land?
Zowel André als Jesper antwoorden dat de Nederlandse en Scandinavische manier van werken en de praktische aanpak veel op elkaar lijken. Dit maakt een goede samenwerking tussen de landen eenvoudiger. Het enige verschil dat Jesper heeft opgemerkt, is dat de Deense politie niet altijd de prioriteit legt bij training en certificering. Iets wat in Zweden en Nederland wel gebeurt.
Christian erkent de overeenkomsten, maar vult het aan met het volgende: "Zweden wordt beschouwd als een early adopter van nieuwe technologie. Dat dwingt rechercheurs om ervoor te zorgen dat ze altijd de nieuwste releases van hun tools hebben en het benadrukt het belang van het kiezen van oplossingen waarbij de fabrikant zijn software snel update met nieuwe functionaliteiten."
Wat kunnen we van elkaar leren?
Eén van de suggesties die Christian naar voren brengt is het meer en beter delen van kennis en ervaring. Natuurlijk ligt het delen van informatie vaak gevoelig, maar methodieken en ervaringen zijn ook belangrijk. Jesper en André stemmen hiermee in. Het is een kleine wereld en men kan altijd kijken naar andere organisaties in het forensische werkveld om te zien hoe zij onderzoeken uitvoeren met behulp van meerdere tools. Jesper: "Forensisch rechercheurs zullen alle aspecten van een onderzoek moeten beheersen en daar hebben ze hulp van andere experts uit verschillende gebieden voor nodig."
In het verlengde van het antwoord op de vorige vraag geeft Jesper aan dat Denemarken nog iets kan leren van hoe voortvarend de Nederlanders en de Zweden training oppakken. Training is daar vaak een sluitpost. "Door de onderzoekers op te leiden, zullen ze sneller, nauwkeuriger en efficiënter kunnen werken. Dit zal helpen bij het wegwerken van achterstanden, wat een toenemend probleem is", aldus Jesper.
Wat brengt de toekomst?
Vanwege de toenemende hoeveelheid data en de trend dat digitaal rechercheurs steeds meer zaken moeten afhandelen, antwoordden alle geïnterviewden dat kunstmatige intelligentie een belangrijk onderdeel van digital forensics zal worden. Het zal helpen met het prioriteren van werk en met het doorzoeken, controleren en interpreteren van data. Naast AI zal door de hoge werkdruk de behoefte aan automatisering en standaardisering van werkprocessen toenemen.
Conclusie
Digital Forensics verandert. De belangrijkste uitdagingen zijn de verscheidenheid aan dataformaten en gegevensdragers en de immense hoeveelheid ervan. Om de data veilig te stellen, te extraheren en te analyseren zijn verschillende digital forensische tools nodig. Populaire tools zijn Magnet AXIOM, EnCase en Oxygen Forensics vanwege hun innovatie en grote verscheidenheid aan functionaliteiten. Maar ook de overig genoemde tools zullen altijd een belangrijke rol blijven spelen. Verder kunnen we concluderen dat de drie landen veel overeenkomsten vertonen: hun klanten, de manier van werken en de gebruikte tooling. Het enige wat zowel in Nederland, Denemarken en Zweden nog verbeterd zou kunnen worden is de uitwisseling van kennis en ervaringen.
Het belangrijkste gemeenschappelijk doel van Christian, André en Jesper is om hun klanten te helpen in de strijd tegen misdaad door middel van advisering in de keuze bij de juiste tooling en training.
Dit doen ze al vele jaren met veel plezier in nauwe samenspraak met de forensic community wereldwijd!
Neem gerust contact op met uw forensisch adviseur om uw vraagstuk te bespreken.