Waar op te letten als je een digitaal forensisch onderzoeker nodig hebt

Technische kennis en certificeringen

Vanzelfsprekend is kennis van digitaal forensische methodieken en tools essentieel voor een digitaal forensisch onderzoeker. Daarnaast vereist digitaal forensische expertise diepgaande technische kennis van computersystemen en de manier waarop deze zijn geïmplementeerd en geconfigureerd.

Let daarom goed op de achtergrond en certificeringen van de beoogde onderzoeker in kwestie. Een forensisch onderzoeker met certificeringen toont aan dat hij of zij beschikt over actuele kennis en vaardigheden en dat de methodes die worden gebruikt aansluiten bij internationale standaarden.

Mogelijke valkuilen:

1. Er is momenteel sprake van een wildgroei aan certificeringen op het gebied van forensische ICT en cybersecurity. Het merendeel hiervan is zeker waardevol maar er bestaan ook certificeringen die worden afgegeven door commerciële belangenverenigingen op basis van (betaald) lidmaatschap. Een ander type certificering waarbij enige terughoudendheid op zijn plaats is, zijn software certificeringen. Certificering in een bepaald forensisch softwarepakket zegt alleen maar dat de persoon specifiek daarin les heeft gehad. Het zegt verder niets over de technische kennis en expertise die de persoon heeft inzake digitaal forensische materie en methodieken.
2. Blind vertrouwen op technische termen. Hoewel certificeringen en jargon een indruk van deskundigheid kunnen geven, zijn ze geen garantie voor kwaliteit. Sommige onderzoekers schermen met indrukwekkende titels, maar missen ervaring in praktijkgerichte of juridische context.

Relevante ervaring en flexibiliteit

Geen enkel digitaal onderzoek is hetzelfde. Gaat het de ene keer om een ransomware aanval, de andere keer gaat het om een werknemer die verdacht wordt van diefstal van intellectueel eigendom. Kies daarom voor een onderzoeker die vanuit eerdere ervaring kan meedenken met jouw specifieke situatie.

Een ander uitermate belangrijk kwaliteitskenmerk is het bewustzijn van wat hij of zij níet kan. Het besef van de eigen beperkingen is misschien wel het belangrijkste kwaliteitskenmerk van een digitaal forensisch onderzoeker.

Vragen die je jezelf kunt stellen:

1. Hoeveel ervaring heeft de beoogde onderzoeker in kwestie met vergelijkbare onderzoeken en casussen?
2. Kan hij of zij snel schakelen en adequaat reageren bij urgente incidenten zoals datalekken en malware infecties?
3. Wordt er gewerkt met een overzichtelijk stappenplan dat specifiek is afgestemd op jouw behoeften en het onderzoek?
4. Is de digitaal forensisch onderzoeker gewend om in complexe en gevoelige situaties op te treden en begrijpt deze hoe organisaties functioneren? Dit voegt extra waarde toe aan het onderzoek.

Juridische kennis en forensisch bewustzijn

Veruit de meeste bevindingen van digitaal forensische onderzoeken worden op enig moment gebruikt in juridische context. De bevindingen kunnen dan ook juridische consequenties hebben. Denk hierbij aan strafrechtelijke procedures maar ook aan arbeidsconflicten, cyberincidenten, financiële fraude, kwesties inzake intellectueel eigendom en complianceonderzoeken. Het is essentieel dat de beoogde onderzoeker op de hoogte is van de juridische kaders waarin hij of zij opereert.

Een deskundige digitaal forensisch onderzoeker:

1. Handelt volgens het principe van forensische integriteit. Het originele bewijs wordt nooit gewijzigd en werkt uitsluitend met forensische kopieën van het originele bewijs. Kent verder het belang van de zogenoemde chain of custody en kan deze aantonen en onderbouwen met sluitende chain of custody documentatie.
2. Verifieert en documenteert alle bevindingen, stappen en handelingen binnen het onderzoek en zorgt ervoor dat deze ook door derden kunnen worden gereproduceerd. Bijvoorbeeld bij een contra-expertise digitaal forensisch onderzoek.
3. Rapporteert zorgvuldig en gestructureerd en is in staat om bevindingen op een duidelijke en juridisch onderbouwde manier uit te leggen. De afnemers van digitaal forensisch onderzoek zijn in de regel niet technisch onderlegde belanghebbenden zoals bijvoorbeeld directieleden, juristen en forensisch accountants.
4. Heeft ervaring met het opstellen van rapportages die bruikbaar zijn in een juridische context en kan indien nodig ook als getuige-deskundige optreden in de rechtbank.

Mogelijke valkuilen:

1. Onvoldoende aandacht voor juridische houdbaarheid. Digitale sporen kunnen alleen gebruikt worden binnen juridische procedures als ze op de juiste manier zijn veiliggesteld, geanalyseerd en gedocumenteerd. Er zijn vele IT professionals die technisch onderzoek doen maar geen forensische methodieken hanteren of juridische kennis hebben. Het gevolg is dat het verkregen digitale bewijs kan worden afgewezen door de rechter. Meestal omdat een aantoonbare chain of custody ontbreekt of omdat het originele bewijs is aangetast.
   
   Er bestaan internationaal erkende normeringen over hoe digitale sporen moeten worden veiliggesteld en behandeld. Verzeker je ervan dat de onderzoeker in kwestie bekend is met deze normeringen en deze ook hanteert. Een veelgebruikte normering is NEN-ISO 27037.
2. Te laat (in)schakelen of eerst zelf proberen. In sommige gevallen wordt een digitaal forensisch deskundige pas ingeschakeld als het te laat is. Computersystemen zijn al opgeschoond, digitale sporen in logbestanden overschreven en opslagmedia zoals harde schijven geformatteerd. Ook komt het nog steeds voor dat de interne IT-afdeling eerst zelf onderzoek probeert te doen, waardoor digitale sporen onherstelbaar beschadigd kunnen raken. Het gevolg is onbruikbaar digitaal bewijsmateriaal waardoor de eigen juridische positie kan verslechteren. Neem daarom bij twijfel zo spoedig mogelijk contact op met een digitaal forensisch deskundige. Een kort, desnoods telefonisch consult kan cruciale fouten voorkomen. Een bekwame digitaal forensisch onderzoeker biedt in de regel een kosteloos oriënterend kennismakingsgesprek.

Discretie, integriteit en betrouwbaarheid

Forensisch ICT onderzoek gaat vaak over gevoelige onderwerpen zoals vertrouwelijke bedrijfsinformatie, datalekken, financiële fraude of interne misstanden. Discretie is daarom een absolute vereiste.

Een gekwalificeerde digitaal forensisch onderzoeker:

1. Gaat zorgvuldig om met vertrouwelijke informatie en hanteert strikte ethische richtlijnen en gedragscodes.
2. Heeft er geen problemen mee om op basis van wederkerigheid een geheimhoudingsverklaring te tekenen.
3. Komt afspraken na en communiceert transparant over het verloop van het onderzoek.

Onvoldoende aandacht voor vertrouwelijkheid en integriteit zal onherroepelijk leiden tot een vertrouwensbreuk, reputatieschade of zelfs juridische aansprakelijkheid. Werk daarom alleen met partijen die aantoonbaar ervaring hebben met gevoelige kwesties en die duidelijke afspraken maken omtrent geheimhouding.

Rapportage- en communicatieve vaardigheden

Minstens zo belangrijk als technische expertise is het vermogen om bevindingen helder te communiceren aan niet-technisch onderlegde belanghebbenden. Denk hierbij aan advocaten, HR-managers, forensisch accountants, directieleden of rechters.

Een kwalitatief hoogwaardig digitaal forensisch onderzoeksrapport is:

1. Duidelijk gestructureerd en geschreven in begrijpelijke taal zonder al te veel technisch jargon. Ondersteunende technische details kunnen in een apart hoofdstuk of bijlage worden opgenomen.
2. Altijd voorzien van een samenvatting van bevindingen oftewel een management samenvatting.
3. Gericht op het beantwoorden van de onderzoeksvragen en niet uitsluitend op het beschrijven van data.

Ook tijdens het onderzoeksproces is goede communicatie essentieel. Je wil weten hoe het onderzoek vordert, welke stappen worden genomen en wat je kunt verwachten qua doorlooptijd en kosten. Kies voor een digitaal forensisch onderzoeker die actief en duidelijk communiceert, zowel schriftelijk als mondeling.

Mogelijke valkuil:

Bij onduidelijke communicatie kun je als opdrachtgever snel het overzicht verliezen. Hierdoor kunnen doorlooptijd en kosten uit de hand lopen. Het gevolg is dat je in onzekerheid verkeert over de voortgang, resultaten en beslismomenten. Of je wordt geconfronteerd met een rapportage die je niet begrijpt of niet kunt gebruiken. Kies voor een onderzoeker die helder communiceert, een concreet plan van aanpak met tijdlijn biedt en tussentijds rapporteert in begrijpelijke niet technische taal.

Te breed georiënteerd dienstenportfolio

Forensisch ICT onderzoek is een technisch specialisme en zelfs binnen digitaal forensisch onderzoek zijn niche specialismen die als een op zichzelf staande expertise zijn te beschouwen. Denk hierbij aan forensisch audio-onderzoek, Internet of Things onderzoek en in steeds grotere mate forensisch onderzoek aan mobiele apparaten.

Enige terughoudendheid is daarom gepast bij aanbieders die digitaal forensisch onderzoek aanbieden als een van de vele onderdelen van hun dienstverlening. Kies bij voorkeur een dienstverlener waarbij digitaal forensisch onderzoek de core business van de dienstverlening is. Forensisch ICT onderzoek is niet iets wat je “er even naast doet”.

Kosten aspect

Budget speelt altijd een rol, maar binnen digitaal forensisch onderzoek betekent goedkoop meestal duurkoop. Lage tarieven zijn vaak synoniem aan weinig ervaring, verouderde tools en een gebrekkig rapportageproces.

Een mogelijke valkuil is om de goedkoopste aanbieder te kiezen zonder inhoudelijke vergelijking. Het gevolg is meestal onduidelijk of onvoldoende resultaat, onbruikbare rapportages en soms zelfs de noodzaak om het gehele onderzoek opnieuw te laten uitvoeren. Beoordeel daarom bovenal de verwachte kwaliteit van te leveren rapportage(s).

Tot slot: maak een weloverwogen keuze

Digitaal forensisch onderzoek is een vakgebied waarbij deskundigheid, precisie en integriteit centraal staan. De mogelijke gevolgen van een gebrekkig onderzoek kunnen groot zijn. Denk hierbij aan onbruikbaar digitaal bewijs, gemiste digitale sporen, reputatieschade en zelfs juridische complicaties. Neem indien mogelijk de tijd om de voor jouw bedrijf of situatie geschikte digitaal forensisch onderzoeker te selecteren. Vraag door, stel kritische vragen en vergelijk objectieve criteria.

Het kan overigens geen kwaad om al in een vroegtijdig stadium contact te onderhouden met een digitaal forensisch onderzoeker. Nog voordat je deze eventueel nodig hebt. De factor tijd is tegenwoordig cruciaal. Investeer daarom in een vroegtijdig stadium in een relatie met een digitaal forensisch deskundige. Op het moment dat je deze nodig hebt, scheelt dat mogelijk cruciale tijd.

Twijfel je over de juiste aanpak of heb je behoefte aan een discreet gesprek over een mogelijk incident? Een kort vertrouwelijk adviesgesprek met een gekwalificeerde digitaal forensisch onderzoeker kan vaak al veel onduidelijkheid wegnemen, én eventuele valkuilen voorkomen.

Neem vrijblijvend contact op voor een discreet adviesgesprek over digitaal forensisch onderzoek.