En värld av IT-forensik
Att hämta, säkra, extrahera och analysera data på ett forensiskt korrekt sätt – även känt som digital forensik eller IT-forensik. De utredare, digitala detektiver och förstainsatspersonal som arbetar inom detta område ställs dagligen inför många olika IT-forensiska utmaningar. Till exempel den stora variationen av databärare, den enorma datamängden de hämtar samt de olika dataformaten.
Vi intervjuade tre av våra Digital Forensics-rådgivare från DataExpert i Sverige, Danmark och Nederländerna. Vi diskuterade de utmaningar och möjligheter som de ser och hör inom det IT-forensiska arbetsfältet. Låt oss börja med att presentera de intervjuade:
André Hakkers: Ansvarig för den forensiska enheten hos DataExpert i Veenendaal, Nederländerna, i över 20 år. Har under åren erhållit många olika certifieringar, såsom ISC2-CISSP, samt genomgått flera utbildningar inom olika forensiska verktyg.
Jesper Eirup Sielemann: Bosatt i Köpenhamn, Danmark, och har arbetat inom den forensiska branschen i ungefär 10 år. Han har en examen i datavetenskap från Danmarks Tekniska Universitet och tillbringade 3 ½ år som stridssjukvårdare i Kungliga Danska Medicinska Kåren innan han gick över till försäljning. Han började på DataExpert Danmark i september 2021 när DataExpert förvärvade Hammerich IT Forensics-avdelning.
Christian Almstedt: Bor och arbetar i Linköping, Sverige. Han har en civilingenjörsexamen och har även studerat internetsäkerhet på universitetsnivå.
Låt oss nu titta på hur världen inom Digital Forensik ser ut i Danmark, Sverige och Nederländerna.
Vilka är kunderna inom Digital Forensik?
DataExpert erbjuder ett mycket brett utbud av produkter och kan därför betjäna en stor variation av kunder. Majoriteten av de digitala forensiska produkterna vi levererar i alla tre länder hamnar hos olika brottsbekämpande myndigheter såsom nationell polis, lokala polisdistrikt, försvarsmakter och skattemyndigheter. Utöver brottsbekämpande myndigheter nämner både André och Christian att de ser en ökad användning av forensiska verktyg inom företag, försäkringsbranschen och banksektorn. Jesper tillägger även organisationer inom telekommunikation, revision och den privata säkerhetsbranschen.
Vilka typer av forensiska undersökningar är vanligast?
”När jag började inom forensik var datorer huvudmålet för undersökningar. De är fortfarande viktiga idag, men mobila enheter är numera det första som utredare letar efter”, säger André. Jesper och Christian håller båda med André om att mobila enheter och datorer är det vanligaste, eftersom det nästan alltid finns intressant data i dem, till exempel GPS-data, bilder, videor och chattkonversationer.
Alla nämner också Cloud Forensics (molnforensik) som ett växande område, eftersom allt mer information lagras i molnet. Jesper säger: ”Cloud Forensics är ingen ny trend, men i vissa fall är utredningarna fortfarande begränsade till data på plats. Det är något utredare måste hantera från fall till fall eftersom lagarna skiljer sig mellan länder. I Danmark är molnet en integrerad del av varje undersökning – åtminstone för brottsbekämpande myndigheter.” Christian tillägger: ”I Sverige finns fortfarande många regleringar kring utredningar i molnet, vilket gör att Cloud Forensics troligen är den minsta delen av den svenska forensikmarknaden.” Så trots att de alla betonade molnets betydelse används det inte mest på grund av regleringar och fokus på lokal data.
André lyfte dessutom fram att CCTV (övervakningskameror) blir en allt viktigare del av utredningar i Nederländerna: ”Kameror finns överallt idag och spelar in händelser som kan granskas i efterhand. Verktyg som Amped FIVE kan hjälpa utredare att hitta rätt information i videomaterial.” Dessutom nämnde André att forensik av bilar (Automotive Forensics) blir allt viktigare eftersom bilar innehåller mer intelligent teknik.
Vilka är de mest populära forensiska lösningarna?
På grund av den stora variationen av datamedier behöver utredare mer än ett verktyg, bland annat för att kunna verifiera resultat som håller i domstol. Christian: ”De flesta kunder använder 2–3 verktyg för att verifiera sina resultat, eftersom varje verktyg har sina egna styrkor.”
En mycket populär programvara i Nederländerna, Danmark och Sverige är Magnet AXIOM. Jesper: ”Den breda funktionaliteten kombinerat med användarvänlighet och en stark vilja att hitta all bevisning gör att brottsbekämpande myndigheter väljer AXIOM.” Förutom AXIOM nämner Jesper även EnCase som en de facto-standard hos dansk polis. Både André och Christian lägger till Oxygen Forensic Detective på listan över populära lösningar, tillsammans med MSAB:s XRY och Cellebrites UFED – där Oxygen Forensic Detective blir allt mer populärt för mobilforensik och molnutredningar.
Vad har förändrats inom Digital Forensik?
Alla tre är överens om att den största förändringen är skiftet från att bara leta efter bevis på hårddiskar till att även inkludera mobila enheter, moln, appar, sociala medier, GPS-data, data från mobilmaster, ANPR-data (automatisk nummerskyltsavläsning) och många fler typer av datakällor. Jesper: ”Det innebär att utredare måste kunna hantera digital forensik på en mycket mer avancerad nivå och ha verktyg och utbildning för att kunna genomföra komplexa undersökningar över flera plattformar.”
Christian påpekar också att datamängden har ökat kraftigt, vilket gör det viktigare att ha rätt verktyg för att prioritera arbetet effektivt.
André tillägger: ”Förutom mängden och variationen av data ser vi även att data är mer krypterad. Lyckligtvis finns det många olika verktyg för mobilforensik som kan kringgå kryptering.”
Vad är unikt med arbetsmetoden i ert land?
Både André och Jesper anser att den nederländska och skandinaviska arbetsmetoden och det praktiska angreppssättet är ganska lika, vilket underlättar samarbetet. Jesper påpekar dock att dansk polis inte alltid prioriterar utbildning och certifiering i samma utsträckning som i Sverige och Nederländerna.
Christian håller med om likheterna, men tillägger: ”Svenskar är tidiga användare av ny teknik, vilket gör att utredare alltid måste hålla sig uppdaterade med de senaste verktygen och prioritera lösningar från tillverkare som snabbt släpper nya funktioner.”
Vad kan vi lära av varandra?
Även om kunderna redan är mycket erfarna, framhåller Christian vikten av att dela kunskap och erfarenheter. Naturligtvis kan informationsdelning vara känsligt, men metodik och erfarenheter är också viktiga. Jesper och André håller med – världen inom IT-forensik är liten, och det är alltid möjligt att lära av hur andra organisationer genomför utredningar över flera plattformar. Jesper: ”En forensisk utredare måste kunna hantera alla delar av en utredning, med hjälp av specialister inom olika områden.”
Jesper tillägger att utbildning och certifiering är något Danmark kan lära sig av andra länder: ”Genom att utbilda utredarna kan de arbeta snabbare, mer noggrant och effektivt. Detta skulle hjälpa till att minska ärendebalansen, som är ett växande problem”, säger Jesper.
Vad har framtiden att erbjuda?
På grund av den ökande datamängden och det faktum att utredare måste hantera fler ärenden, svarade alla att artificiell intelligens kommer att bli en viktig del av forensiken. AI kommer att hjälpa till att prioritera arbete, söka data, korrelera information och tolka den. Utöver AI kommer behovet av automatisering och standardisering av arbetsprocesser att öka på grund av den höga arbetsbelastningen.
Slutsats
Digital forensik förändras. De största utmaningarna är variationen av dataformat och datakällor samt den enorma mängden data. För att kunna hämta, säkra och analysera information behövs olika verktyg. Populära verktyg är Magnet AXIOM, EnCase och Oxygen Forensics tack vare sin innovation och breda funktionalitet. Dessutom kan vi konstatera att Nederländerna, Danmark och Sverige har många likheter när det gäller kunder, arbetssätt och verktyg. Ett område som kan förbättras i alla tre länder är utbytet av kunskap och erfarenheter.
Det gemensamma målet för Christian, André och Jesper är att hjälpa våra kunder att övervinna utmaningarna i den dynamiska digitala forensikvärlden och att bygga ett starkt forensiskt community.
Vill du diskutera dina utmaningar med våra forensiska rådgivare? Tveka inte att kontakta oss.