Den IT-Forensiska världen
Hämta, säkra, extrahera och analysera data på ett forensikt ansvarsfullt sätt, aka IT-forensik. Utredarna, de digitala detektiverna och de första som arbetar inom detta område möter många olika digitala kriminaltekniska utmaningar varje dag. Till exempel det stora utbudet av databärare, den enorma mängden data de hämtar och de olika dataformaten.
Vi intervjuade tre av våra Digital Forensics Advisors från DataExpert Sverige, Danmark och Nederländerna. Vi diskuterade de utmaningar och möjligheter de ser och hör inom det IT-forensiska arbetsfältet. Låt oss börja med att presentera intervjupersonerna:
André Hakkers: ansvarig för den IT-forensiska enheten vid DataExpert i Veenendaal, Nederländerna, i över 20 år. Fått många olika certifieringar genom åren som ISC2-CISSP och olika verktygsutbildningar.
Jesper Eirup Sielemann: bor i Köpenhamn, Danmark, och har arbetat inom den IT-forensiska branschen i cirka 10 år. Han har sin examen i datavetenskap från Danmarks Tekniska Universitet och tillbringade 3 ½ år inom militär fältsjukvård i Kungliga Danska Läkarkåren innan han startade med försäljning. Han började på DataExpert Danmark i september 2021 när DataExpert förvärvade Hammerich IT Forensic avdelningen.
Christian Almstedt: bor och arbetar i Linköping, Sverige. Han har en civilingenjörsexamen och har även studerat Internetsäkerhet på universitetsnivå.
Låt oss nu läsa hur den IT-forensiska världen ser ut i Danmark, Sverige och Nederländerna.
Vilka är de IT-forensiska kunderna?
DataExpert erbjuder en mycket bred mix av produkter och därför kan vi betjäna en bred mix av kunder. Majoriteten av IT-forensiska produkter vi tillhandahåller i alla tre länder hamnar inom olika brottsbekämpande organisationer som rikspoliser, lokala polisdistrikt, försvaret och skattekontor. Förutom brottsbekämpning nämner både André och Christian att de ser en ökning av användningen av forensiska verktyg inom företags-, försäkrings- och bankbranschen. Jesper lade till organisationer inom telekommunikation, revision och den privata säkerhetsbranschen på listan.
Vilka typer av forensiska utredningar är vanligast?
”När jag först började med IT-forensik var datorer de främsta målen för utredningarna. De är fortfarande viktiga idag, men mobila enheter är nuförtiden det första som detektiver letar efter”, säger André. Jesper och Christian håller båda med André om att mobila enheter och datorer är de mest förekommande, eftersom det nästan alltid finns intressant data inuti enheterna. Till exempel GPS-information, bilder, videor, chattkonversationer etc.
Vidare nämner de alla molnforensik som ett kommande område inom forensik eftersom mer och mer information kan hittas i molnet. Jesper: ”Cloud Forensics är ingen ny trend, men i vissa fall är utredningens omfattning fortfarande begränsad till data på plats. Detta är något som utredarna måste hantera från fall till fall och lagarna är olika från land till land. I Danmark är molnet en integrerad del av alla utredningar – åtminstone för brottsbekämpande myndigheter”. Christian tillägger: "I Sverige finns det fortfarande en hel del regler mot att utreda i molnet, därför är molnforensik förmodligen den minsta delen av den svenska forensiska verksamheten." Så även om de tre alla betonade vikten av molnet, betyder regelverk och fokus på data på plats att det inte är den typ av kriminalteknik som används mest.
Vidare betonade André att CCTV också är en allt viktigare del av utredningar i Nederländerna: "Nu för tiden finns kameror överallt och registrerar incidenter som kan komma att tittas på vid ett senare tillfälle. Det blir allt viktigare och verktyg som Amped FIVE kan hjälpa utredare att hitta rätt information i videomaterial”. Utöver detta noterade André också att fordons- eller bilforensik blir allt viktigare eftersom bilar innehåller mer och mer intelligent teknik.
Vilka är de populäraste forensiska lösningarna?
På grund av det stora utbudet av databärare behöver utredare mer än bara ett forensiskt verktyg. Detta också för att säkerställa ett resultat som inte kan ifrågasättas i domstol. Christian: "De flesta kunder använder 2-3 verktyg för att verifiera resultaten och även för att varje verktyg har sin speciella styrka". En mycket populär mjukvarulösning i Nederländerna, Danmark och Sverige är Magnet AXIOM. Jesper: "Det breda utbudet av funktionalitet i kombination med användarvänligheten och ett kraftfullt engagemang för att hitta alla bevis är anledningen till att brottsbekämpande kunder väljer AXIOM". Förutom AXIOM nämner Jesper EnCase till att vara en de-facto standard vid brottsbekämpning i Danmark. Både André och Christian lade till Oxygen Forensic Detective till listan över populära lösningar. Bredvid den mycket uppskattade MSAB:s XRY och Cellebrites UFED, blir Oxygen Forensic Detective mer och mer populär för mobilforensik och moln-utredningar.
Förutom ovanstående används ofta FTK och Intella för utförliga e-postanalyser.
Vad har förändrats inom det IT-forensiska området?
Alla tre var överens om att den viktigaste förändringen i digitala utredningar är övergången från att söka bevis enbart på hårddiskar till att inkludera mobila enheter, molnet, appdata, sociala medier, GPS, mobiltelefontornsdata, ANPR-data och flera andra olika databärare. Jesper: ”Detta innebär att utredaren inte bara behöver kunna digital forensik på ett grundläggande sätt utan behöver verktyg och utbildning för att genomföra komplexa utredningar på många olika plattformar och ha en analytisk förmåga och verktyg för att extrahera bevisen och presentera dem i en rapport som kan användas i domstol”.
Förutom mängden databärare är mängden data också en rejäl förändring. Det finns enorma mängder data överallt. Christian: "Denna förändring gör det viktigare för utredarna att ha de rätta verktygen så att de snabbt kan få hjälp med hur de ska prioritera sitt arbete".
"Förutom variationen och mängden data ser vi också att data är mer krypterad. Som tur är finns det många olika mobila forensiska mjukvaror och hårdvarulösningar för att kringgå krypteringen” tillägger André.
Vad är unikt med den IT-forensiska arbetsmetoden i ditt land?
Både André och Jesper svarade att det holländska och det skandinaviska arbetssättet och det praktiska förhållningssättet är ganska lika. Detta gör samarbetet mellan länderna smidigare och enklare. Den enda skillnaden som Jesper betonade var att den danska polisen inte alltid prioriterar utbildning och certifiering. Något som sker mer av i Sverige och Nederländerna.
Christian höll med om likheterna, men nämner också följande: ”Svenskar anses vara mycket tidiga anammare av ny teknik. Det tvingar utredarna att se till att de alltid har de senaste versionerna av sina verktyg, och det understryker vikten av att välja verktyg där tillverkaren snabbt uppdaterar sina verktyg med nya funktioner”.
Vad kan vi lära av varandra?
Även om kunderna redan är riktigt erfarna i det de gör, är en av förbättringarna som Christian lagt fram att dela kunskap och erfarenhet. Att dela information är förstås ofta känsligt, men metodik och erfarenheter är också viktiga att dela. Jesper och André håller båda två med. Det är en liten värld och kunderna kan alltid vända sig till andra organisationer inom det IT-Forensiska området för att se hur andra genomför utredningar över flera enheter och plattformar. Jesper: ”Forensiska utredare kommer att behöva bemästra alla aspekter av en utredning med hjälp av specialister inom olika områden”.
Utöver svaret på föregående fråga sa Jesper också att i Danmark skulle utbildning och certifieringar vara något de kan lära sig av andra länder. ”Genom att utbilda utredarna kommer de att kunna arbeta snabbare, mer exakt och effektivt. Detta kommer att hjälpa till med eftersläpningar av ärenden som är ett ökande problem”, säger Jesper.
Vad kommer iframtiden?
På grund av den ökande mängden data och trenden att utredare behöver hantera allt fler ärenden, svarade alla intervjupersoner att artificiell intelligens kommer att bli en viktig del av kriminaltekniken. Det kommer att hjälpa till att prioritera arbete, söka data, korrelera data och tolka data. Utöver AI kommer behovet av automatisering och standardisering av arbetsprocesserna att öka på grund av den höga arbetsbelastningen.
Slutsats
IT-forensik förändras. De största utmaningarna är mångfalden av dataformat och databärare och den enorma mängden av dem. För att hämta, extrahera, säkra och analysera data behövs olika verktyg. Populära verktyg är Magnet AXIOM, EnCase och Oxygen Forensics på grund av deras innovation och många olika funktioner. Dessutom kan vi dra slutsatsen att alla tre länderna har många likheter: deras kunder, sättet att arbeta och använda verktyg. Det enda som bör förbättras i Nederländerna, Danmark och Sverige är utbyte av kunskap och erfarenheter.
De gemensamma målen för Christian, André och Jesper kommer alltid att vara att hjälpa våra kunder att övervinna utmaningarna i den dynamiska världen av Digital Forensik och att ansluta och bygga en forensisk community.
Vill du diskutera dina utmaningar med våra forensiska rådgivare? Kontakta oss gärna.