In ons huidige digitale tijdperk is bewijs al lang niet meer beperkt tot papieren documenten of fysieke sporen. E-mail correspondentie, camerabeelden, audio-opnamen, logbestanden en locatiegegevens kunnen allemaal minstens zo belangrijk zijn. Maar in tegenstelling tot fysiek tastbare sporen, zijn digitale sporen veel vluchtiger van aard. Wachten met het veiligstellen ervan kan al snel leiden tot onherstelbaar verlies van waardevolle informatie. In dit artikel bespreek ik 5 redenen waarom snel veiligstellen belangrijk is.
Ter illustratie beschrijf ik een recent praktijkvoorbeeld waarbij veel te lang werd gewacht met het veiligstellen van digitale sporen.
Digitale sporen zijn vluchtig
Informatie op digitale systemen wordt vaak automatisch overschreven of verwijderd. Denk hierbij aan logbestanden die na een paar dagen of bij het bereiken van een bepaalde omvang op basis van first in first out, automatisch worden overschreven. Een ander voorbeeld is de browser geschiedenis die eenvoudig door de gebruiker zelf kan worden verwijderd. Maar ook binnen netwerkomgevingen, mobiele apparaten en cloudomgevingen worden tijdelijke bestanden en sessies regelmatig automatisch gewist of vernieuwd.
Wachten met het veiligstellen van digitale sporen betekent dus risico lopen op het geheel of gedeeltelijk verliezen van mogelijk essentieel digitaal bewijs.
Gebruikers kunnen digitale sporen manipuleren of vernietigen
Zodra een verdachte zich bewust wordt van een lopend onderzoek is de kans groot dat de persoon actie onderneemt om digitale sporen te wissen of te manipuleren. Zelfs gebruikers met lage gebruikersrechten op een systeem hebben toegang tot applicaties om bestanden te wissen, aan te passen of te verbergen.
Zonder tijdige veiligstelling van digitale sporen is het achteraf vaak moeilijk of zelfs onmogelijk om aan te tonen wat er precies is gewijzigd of verwijderd. Een digitaal forensisch onderzoek wordt hiermee al snel een complexe aangelegenheid met onzekere uitkomst.
Praktijkvoorbeeld:
Een via een detacheringsbureau ingehuurde consultant werd verdacht van frauduleuze activiteiten. Hierop werd de externe accountant van de organisatie gevraagd een boekenonderzoek te doen. Een verzoek van de eigen HR afdeling om eventuele digitale sporen in een vroegtijdig stadium veilig te stellen werd op managementniveau echter afgewezen. De verdachte werd als beperkt technisch onderlegd beschouwd waardoor men het risico op vernietiging van mogelijk digitaal bewijs gering achtte.
Het onderzoek van de account liet echter op zich wachten en de bevindingen kwamen pas na het vertrek van de verdachte consultant beschikbaar. Conclusie…meerdere indicaties van frauduleuze handelingen en het dringende advies om een forensisch ICT onderzoek uit te laten voeren ter onderbouwing van de bevindingen van de accountant.
Voor dit onderzoek werd onder meer de harde schijf van de computer die bij de verdachte in gebruik is geweest onderzocht. Echter, de verdachte bleek toch beduidend beter technisch onderlegd dan eerder werd aangenomen.
Bij analyse bleek dat op de dag van vertrek van de verdachte, de complete harde schijf is overschreven. Alle sectoren van het opslagmedium waren, van begin tot eind, overschreven met een patroon dat er in hexadecimale notatie uitziet als 46 55 43 4B 59 4F 55.
In ASCII notatie komt 46 55 43 4B 59 4F 55 overeen met “F*CK YOU”. Zie de afbeelding hieronder voor een weergave van de harde schijf in een hex editor.
Aanbieders van clouddiensten hanteren bewaartermijnen
Veel populaire platforms en aanbieders van clouddiensten hanteren strikte bewaartermijnen. Denk hierbij aan door een gebruiker verwijderde gegevens die naar de digitale prullenbak zijn verplaatst. Afhankelijk van het type abonnement dat is afgesloten wordt in sommige gevallen de digitale prullenbak automatisch na 30 dagen definitief geleegd.
Dus tenzij er binnen die termijn een officieel verzoek is ingediend, verlies je zonder tijdige actie potentieel waardevolle digitale sporen uit deze systemen.
Juridische waarde van digitale sporen
De juridische waarde van digitaal bewijs is sterk afhankelijk van de integriteit, herleidbaarheid en reproduceerbaarheid van de onderzochte digitale sporen. Dat geldt met name voor bewijs dat gebruikt wordt in een juridische procedure. Het is van essentieel belang dat zowel de herkomst als de forensische integriteit van digitale sporen altijd aantoonbaar zijn en blijven.
Dit kan op zich worden gerealiseerd met gangbare digitaal forensische methodieken, maar alleen als ze worden toegepast vóórdat de digitale sporen worden gewijzigd. Hoe langer je wacht, hoe moeilijker het wordt om aan te tonen dat bepaalde digitale sporen authentiek en ongewijzigd zijn.
Tijdig veiligstellen maakt reconstructie en analyse makkelijker
Tijdige veiligstelling van digitale sporen maakt een meer diepgaande analyse en reconstructie van gebeurtenissen mogelijk. Denk aan het in kaart brengen van communicatiepatronen en het analyseren van logbestanden inzake toegang tot bepaalde digitale systemen of netwerken.
Door snel te handelen is er in de regel meer data beschikbaar die meestal ook van hogere kwaliteit en relevantie is. Dit vergroot de kans op adequate waarheidsvinding en het onderbouwen van een bepaald standpunt, hetgeen je juridisch positie in belangrijke mate kan verbeteren.
Conclusie
Bij digitale sporen is tijd een doorslaggevende factor. Of het nu gaat om een intern onderzoek, een strafbaar feit of zakelijk conflict. Het veiligstellen van digitale sporen moet zo spoedig mogelijk gebeuren. Niet alleen om deze sporen te behoeden voor vernietiging of verandering, maar met name om de juridische betrouwbaarheid en forensische integriteit te kunnen waarborgen.
Digitale sporen die niet tijdig worden veiliggesteld worden nooit digitaal bewijs. Wacht dus niet af, maar schakel op tijd een bekwame digitaal forensisch onderzoeker in. Het verschil tussen een succesvolle zaak en een verloren zaak kan letterlijk afhangen van een paar dagen of zelfs uren.
Wil je weten hoe digitale sporen binnen jouw organisatie in een zo vroeg mogelijk stadium kunnen worden veiliggesteld? Neem dan contact op voor een discreet en vrijblijvend kennismakingsgesprek.