Forensisch ICT-onderzoek, ook wel digitaal forensisch onderzoek genoemd, richt zich op het identificeren, veiligstellen en analyseren van digitale sporen om hieruit digitaal bewijs te verkrijgen.
Digitale sporen, ook wel elektronisch opgeslagen informatie genoemd, bevinden zich niet alleen in computersystemen en mobiele apparaten, maar ook binnen zogeheten clouddiensten.
Denk hierbij aan chatberichten, e-mailcorrespondentie, inloggegevens, fotobestanden en GPS-locatiegegevens. Bovendien slaan ook voertuigen, elektronische fietsen, koelkasten, koffiezetapparaten en bankpassen informatie op. Hierdoor is digitaal forensisch onderzoek breed inzetbaar en van groot belang in uiteenlopende situaties.
Met andere woorden, vrijwel alles met een stekker of batterij kan elektronisch opgeslagen informatie bevatten.
De belangrijkste doelstelling van een digitaal forensisch onderzoek is het verkrijgen van digitaal bewijsmateriaal voor toepassing binnen de context van een juridische procedure of intern onderzoek.
Dit omvat het onderzoeken van computers in de breedste zin van het woord. Concreet betekent dit onder andere het herstellen van opzettelijk verwijderde of verborgen bestanden en het reconstrueren van tijdslijnen van gebeurtenissen. Hierdoor ontstaat een gedetailleerd inzicht in wat er precies is gebeurd met een bepaald computersysteem.
Daarnaast kan het onderzoek zich specifiek richten op het gedetailleerd in kaart brengen van internetactiviteiten. Denk hierbij aan ingevoerde zoektermen in zoekmachines, de volledige geschiedenis van gekopieerde bestanden, het diepgaand analyseren van inloggegevens en het onderzoeken van webbrowser gebruik.
Bovendien legt dit onderzoek verbanden tussen digitale handelingen en herkent het terugkerende patronen. Hierdoor biedt het essentiële inzichten in digitale sporen en gedragingen. Daarnaast helpt het om de bredere context van deze activiteiten te begrijpen.
Hieronder vallen smartphones, tablets en zogeheten wearables, zoals smartwatches. In de praktijk richt dit type onderzoek zich voornamelijk op de analyse van chatberichten, de belgeschiedenis, locatiegegevens en het gebruik van specifieke softwareapplicaties. Hierdoor kunnen onderzoekers vaststellen welke communicatie heeft plaatsgevonden, waar een apparaat zich op bepaalde momenten bevond en welke toepassingen actief waren.
Dit onderzoek richt zich op het analyseren van netwerkverkeer en communicatie om sporen van cyberaanvallen, datalekken of ongeoorloofde toegang te detecteren. Door patronen en afwijkingen in het dataverkeer te herkennen, bepaalt de digitaal forensisch onderzoeker of, en op welke manier een systeem is gecompromitteerd. Bovendien biedt deze analyse waardevolle inzichten om kwetsbaarheden bloot te leggen en toekomstige veiligheidsincidenten te voorkomen.
Dit type onderzoek richt zich op het analyseren van elektronisch opgeslagen informatie binnen cloud-omgevingen. Aangezien het gebruik van clouddiensten de afgelopen jaren sterk is toegenomen, slaan organisaties steeds meer data extern op in plaats van fysiek binnen de eigen infrastructuur. Dit brengt nieuwe uitdagingen met zich mee op het gebied van data-analyse, informatiebeveiliging en het achterhalen van digitale sporen.
Dit onderzoek analyseert mogelijk schadelijke software (malware) om risico’s in kaart te brengen. Door de malware grondig te onderzoeken, krijgt de digitaal forensisch onderzoeker inzicht in de functionaliteit en gedrag van de malware. Zo kan nauwkeurig worden vastgesteld welke systemen geïnfecteerd zijn en welke schade is aangericht. Vervolgens worden de maatregelen genomen die nodig zijn om verdere verspreiding te stoppen.
Daarnaast levert dit type onderzoek waardevolle informatie op voor het ontwikkelen van effectieve beveiligingsmaatregelen tegen toekomstige aanvallen.
Electronic discovery, of e-discovery, identificeert specifieke en relevante gegevens binnen grote hoeveelheden digitale informatie. Het doel is om deze gegevens snel en efficiënt toegankelijk te maken. Daarom richt het onderzoek zich op eenvoudig te ontsluiten data, zoals e-mails, bijlagen, agenda’s en fotobestanden. Ook digitale contracten, documenten en financiële administratie vallen hieronder.
Door deze gegevens systematisch te ordenen, wordt effectieve analyse mogelijk. Vaak werken onderzoekers samen met externe professionals, zoals accountants en juristen, die de informatie gebruiken voor juridische of financiële onderzoeken.
Voor onze e-discovery dienstverlening is een separate pagina beschikbaar.
Digitaal forensisch onderzoek, ook wel forensisch ICT onderzoek genoemd, kent vele toepassingsgebieden. De meest voorkomende zijn: rechtszaken en juridische geschillen, cybercriminaliteit, fraudeonderzoek, datalekken en privacy-inbreuken, kwesties inzake werknemers, incident response en kwesties inzake intellectueel eigendom.
Een forensisch ICT-onderzoek levert essentieel digitaal bewijs op voor juridische procedures en interne onderzoeken. Zo kunnen juristen en andere experts deze informatie gebruiken om zaken beter te onderbouwen.
Het eindresultaat is een gedetailleerd rapport met bevindingen. Dit rapport stelt de digitaal forensisch onderzoeker op en is gebaseerd op technische analyses en de bewijsketen, ook wel de chain of custody genoemd. Deze documentatie is cruciaal om de forensische integriteit te waarborgen. Hierdoor blijft het verkregen bewijs juridisch toelaatbaar en bruikbaar in rechtszaken of interne onderzoeken.
Daarnaast kan een forensisch ICT-onderzoek de juridische positie van een partij aanzienlijk versterken. In sommige gevallen speelt het zelfs een doorslaggevende rol in de uiteindelijke uitkomst van een zaak.
Er is een uitgebreide datasheet beschikbaar voor deze dienst. Download de datasheet hieronder.
Veel voorkomende situaties zijn onderzoek naar interne fraude of datadiefstal, bij cyber incidenten en het herstellen en analyseren van verwijderde bestanden. Maar ook het veiligstellen van digitale sporen binnen juridische procedures, bij beveiligingsincidenten en compliance audits, vermoedens van diefstal van intellectueel eigendom en vermeend wangedrag van medewerkers.
Bijna elke handeling die op een computer wordt uitgevoerd, kan in principe worden gereconstrueerd. Dit maakt het mogelijk om digitaal bewijsmateriaal te achterhalen en te analyseren. Veelvoorkomende vormen van digitaal bewijs zijn onder andere:
Zoekopdrachten en zoektermen die in zoekmachines zijn ingevoerd.
Reconstructie van internetgeschiedenis, zoals bezochte websites en browseractiviteit.
Herstel van moedwillig verwijderde bestanden, mits deze niet zijn overschreven.
Aangesloten randapparatuur, waaronder telefoons, printers, scanners en USB-apparaten.
Gebruikte software, zowel geïnstalleerde als verwijderde programma’s, inclusief een tijdlijn van gebruik.
Reconstructie van gebeurtenissen, waarmee kan worden vastgesteld wat er op welk tijdstip met een computer is gebeurd en door wie.
Detectie van kwaadaardige software, zoals virussen, Remote Access Tools (RATs) en ransomware.
Inloggegevens en beveiligingsgegevens, zoals gebruikersnamen, wachtwoorden en andere securitytokens.
Bestandsactiviteiten, waaronder het openen, kopiëren en verwijderen van bestanden en mappen.
E-mailcorrespondentie en chatcommunicatie, inclusief bijlagen en metadata.
Media-gerelateerde bestanden, zoals foto’s en video’s, inclusief GPS-locatiegegevens en andere metadata.
Door middel van digitaal forensisch onderzoek kunnen deze sporen worden geanalyseerd en gebruikt als bewijsmateriaal in juridische of interne onderzoeken.
Bij digitaal forensisch onderzoek wordt volgens strikte procedures gewerkt om de forensische integriteit van digitaal bewijsmateriaal te kunnen waarborgen. Dit betekent dat altijd kan worden aangetoond dat digitaal bewijsmateriaal nimmer is gewijzigd. Niet tijdens de acquisitie, niet tijdens het verwerken en niet tijdens de analyse van het bewijsmateriaal, nooit.
212 acquireert, bewaart en behandelt digitaal bewijsmateriaal conform NEN-EN-ISO/IEC 27037:2016.
Onderdeel hiervan is het opstellen van de zogenaamde chain of custody documentatie. Hierin wordt iedere handeling aan, dan wel met, het digitale bewijsmateriaal nauwkeurig gedocumenteerd. Het beschrijft de life cycle van het digitale bewijs vanaf het moment van identificatie en acquisitie tot aan het archiveren ervan. Maar bovenal beschrijft het wie het bewijs op een bepaald moment in zijn of haar bezit had, de zogenaamde custodian.
Geen onderzoek is hetzelfde en daarom verschilt de doorlooptijd van ieder onderzoek onderling sterk. De gemiddelde doorlooptijd van een relatief eenvoudig onderzoek van een enkele computer / laptop is in de regel ongeveer 20 uur. Afhankelijk van de urgentie kan een dergelijk onderzoek meestal binnen een week worden afgerond.
Meer complexe vraagstukken of onderzoeken waarbij bijvoorbeeld eerst bepaalde beveiligingsmaatregelen of encryptie ongedaan dienen te worden gemaakt, vergen meer tijd. Hier is sprake van uitgebreide bewerking en analyse waardoor de doorlooptijd kan oplopen tot enkele weken of een maand.
De kosten variëren per type onderzoek en zijn afhankelijk van de complexiteit, omvang van het digitale bewijsmateriaal en de benodigde analysemethoden en specialistische software.
Heeft u een specifieke vraag? Neem gerust contact met ons op!
Bijna alle apparaten met een stekker of batterij bevatten elektronisch opgeslagen informatie en kunnen in principe worden onderzocht.
In de regel kunnen onderzoeken worden uitgevoerd aan computers en laptops, smartphones en tablets, servers en cloudomgevingen, USB-sticks en externe harde schijven, netwerk randapparatuur, geluidsfragmenten en e-mailaccounts.
Omdat tegenwoordig ook voertuigen, elektronische fietsen, koelkasten, koffiezetapparaten en bankpassen elektronisch opgeslagen informatie bevatten, kan ook aan deze apparaten in sommige gevallen digitaal forensisch onderzoek worden uitgevoerd.
Ja, de dienstverlening van 212 is beschikbaar op Aruba, Curaçao, Sint Maarten en Caribisch Nederland via Xandstorm Ltd. | xandstorm.com.
