Verden af Digital Forensics
Hentning, sikring, udtrækning og analyse af data på en forensic ansvarlig måde, også kaldet Digital Forensics. Efterforskerne, de digitale detektiver og førstehjælpere, der arbejder på dette felt, står over for mange forskellige digitale retsmedicinske udfordringer hver dag. For eksempel det store udvalg af databærere, den enorme mængde data, de henter, og de forskellige dataformater.
Vi interviewede tre af vores Digital Forensics Advisors fra DataExpert Sverige, Danmark og Holland. Vi diskuterede de udfordringer og muligheder, de ser og hører i det digitale retsmedicinske arbejdsfelt. Lad os starte med at præsentere interviewpersonerne:
André Hakkers: Business unit manager for den Forensic enhed hos DataExpert i Veenendaal, Holland, i over 20 år. Modtaget mange forskellige certificeringer gennem årene som ISC2-CISSP og forskellige værktøjstræningskurser.
Jesper Eirup Sielemann: bor i Københavnsområdet, Danmark, og har arbejdet med forensic i omkring 15 år. Han er uddannet datamatiker fra Danmarks Tekniske Universitet og har været 3 ½ år i Det Kongelige Lægekorps, inden han gik i salg. Han kom til DataExpert Danmark i september 2021, da DataExpert købte Hammerich IT Forensic afd.
Christian Almstedt: bor og arbejder i Linköping, Sverige. Han har en Master of Science-uddannelse og har også studeret til Internetsikkerhed på universitetsniveau.
Lad os nu læse, hvordan verden af Digital Forensics ser ud i Danmark, Sverige og Holland.
Hvem er Digital Forensic-kunderne?
DataExpert tilbyder en meget bred blanding af produkter, og derfor er vi i stand til at betjene en bred blanding af kunder. Størstedelen af de digitale retsmedicinske produkter, vi leverer i alle tre lande, ender i forskellige retshåndhævende organisationer som det nationale politi, lokale politidistrikter, forsvars- og skattekontorer. Udover retshåndhævelse nævner både André og Christian, at de ser en stigning i brugen af forensic værktøjer inden for virksomheds-, forsikrings- og bankindustrien. Jesper føjede til listen organisationer inden for telekommunikation, revision og den private sikkerhedsbranche.
Hvilke typer forensic undersøgelser er mest almindelige?
"Da jeg startede i Forensics, var computere hovedmålene for efterforskningen. De er stadig vigtige i dag, men mobile enheder er i dag det første, detektiver leder efter", siger André. Jesper og Christian er begge enige med André i, at mobile enheder og computere er de mest eftertragtede, for der er næsten altid interessante data inde i enhederne. For eksempel GPS-registreringer, billeder, videoer, chatsamtaler osv.
Ydermere nævner de alle Cloud Forensics som et kommende område i Forensics, fordi mere og mere information kan findes i skyen. Jesper: "Cloud Forensics er ikke en ny trend, men i nogle tilfælde er omfanget af efterforskningen stadig begrænset til data på stedet. Det er noget, efterforskerne skal navigere fra sag til sag, og lovene er forskellige fra land til land. I Danmark er skyen en integreret del af enhver efterforskning – i hvert fald for retshåndhævelse". Christian tilføjer: "I Sverige er der stadig mange regler vedrørende undersøgelser i skyen, derfor er Cloud Forensics formentlig den mindste del af den svenske retsmedicinske forretning". Så selvom de tre af dem alle understregede vigtigheden af skyen, betyder regler og fokus på onsite-data, at det ikke er den type retsmedicin, der bliver brugt mest.
Ydermere understregede André, at CCTV også er en stadig vigtigere del af efterforskningen i Holland: "I disse dage er kameraer overalt, der optager hændelser, der kan ses på et senere tidspunkt. Det bliver stadig vigtigere, og værktøj som Amped FIVE kan hjælpe efterforskere med at finde den rigtige information i videomaterialer". Udover dette bemærkede André også, at Automotive eller Car Forensics bliver stadig vigtigere, da biler indeholder mere og mere intelligent teknologi.
Hvad er de mest populære retsmedicinske løsninger?
På grund af den brede vifte af databærere har efterforskere brug for mere end blot ét forensic værktøj. Dette er også for at sikre et resultat, der ikke kan stilles spørgsmålstegn ved i retten. Christian: "De fleste kunder bruger 2-3 værktøjer til verifikation af resultaterne, og også fordi hvert værktøj har sin egen særlige styrke". En meget populær softwareløsning i Holland, Danmark og Sverige er Magnet AXIOM. Jesper: "Den brede vifte af funktionalitet kombineret med brugervenligheden og en ihærdig dedikation til at finde alle beviser er grunden til, at retshåndhævende kunder vælger Magnet AXIOM". Udover AXIOM udnævnte Jesper EnCase til at være en af de facto standarder hos retshåndhævere i Danmark. Både André og Christian tilføjede Oxygen Forensic Detective til listen over populære løsninger. Ved siden af den meget værdsatte MSAB's XRY og Cellebrite's UFED bliver Oxygen Forensic Detective mere og mere populær til Mobile Forensics og Cloud-undersøgelser.
Hvad har ændret sig inden for Digital Forensic-området?
Alle tre var enige om, at den vigtigste ændring i Digital Investigations er skiftet fra at søge beviser udelukkende på harddiske til at inkludere mobile enheder, skyen, app-data, sociale medier, GPS, mobiltelefontårn-data, ANPR-data og flere forskellige databærere. Jesper: "Det betyder, at efterforskeren ikke kun skal kende digital retsmedicin på en helt grundlæggende måde, men har brug for værktøjer og træning til at udføre komplekse undersøgelser på tværs af mange forskellige platforme og have analytiske evner og værktøjer til at udtrække beviserne og præsentere dem i en rapport, der kan bruges i retten".
Udover de mange forskellige databærere, er mængden af det også et reelt skift. Der er enorme mængder data overalt. Christian: "Dette skifte gør det vigtigere for efterforskerne at have de rigtige værktøjer, så de hurtigt kan få hjælp til, hvordan de skal prioritere deres arbejde".
"Udover variationen og mængden af data, ser vi også, at data er mere krypteret. Heldigvis er der mange forskellige mobile retsmedicinske software- og hardwareløsninger til at omgå krypteringen", tilføjer André.
Hvad er unikt ved Digital Forensics arbejdsmetode i dit land?
Både André og Jesper svarede, at den hollandske og den skandinaviske måde at arbejde på og den praktiske tilgang er ret ens. Det gør samarbejdet mellem landene mere smidigt og lettere. Den eneste forskel, Jesper fremhævede, var, at Dansk Politi ikke altid prioriterer uddannelse og certificering. Noget der sker i Sverige og Holland.
Christian anerkendte lighederne, men nævner også følgende: "Svenske anses for at være meget tidlige brugere af ny teknologi. Det tvinger efterforskerne til at sikre sig, at de altid har de nyeste udgivelser af deres værktøjer, og det understreger vigtigheden af at vælge værktøjer, hvor producenten hurtigt opdaterer deres værktøjer med nye funktionaliteter".
Hvad kan vi lære af hinanden?
Selvom kunderne allerede er rigtig erfarne i det, de laver, er en af de forbedringer, som Christian fremlagde, at dele viden og erfaring. Selvfølgelig er deling af information ofte følsomt, men metodik og erfaringer er også vigtige. Jesper og André var begge ligesindede. Det er en lille verden, og de kan altid kigge til andre organisationer inden for IT-Forensic-området for at se, hvordan de udfører undersøgelser over flere enheder og platforme. Jesper: "Retsmedicinske efterforskere skal mestre alle aspekter af en efterforskning med hjælp fra specialister på forskellige områder".
Udover svaret på det foregående spørgsmål, udtalte Jesper også, at i Danmark ville uddannelse og certificeringer være noget, de kan lære af andre lande. "Ved at træne efterforskerne vil de være i stand til at arbejde hurtigere, mere præcist og effektivt. Det vil hjælpe med sagsefterslæb, som er et stigende problem", siger Jesper.
Hvad bringer fremtiden?
På grund af den stigende mængde data og tendensen til, at efterforskere skal håndtere flere og flere sager, svarede alle interviewpersoner, at kunstig intelligens bliver en vigtig del af digital forensics. Det vil hjælpe med at prioritere arbejde, søge data, korrelere data og fortolke data. Ud over AI vil behovet for automatisering og standardisering af arbejdsprocesserne stige på grund af den høje arbejdsbyrde.
Konklusion
Digital Forensics er under forandring. De største udfordringer er mangfoldigheden af dataformater og databærere og den enorme mængde af det. For at hente, udtrække, sikre og analysere data er der brug for forskellige værktøjer. Populære værktøjer er Magnet AXIOM, EnCase og Oxygen Forensics på grund af deres innovation og brede vifte af funktionaliteter. Desuden kan vi konkludere, at alle tre lande har mange ligheder: deres kunder, måden at arbejde på og det brugte værktøj. Den ene ting, der bør forbedres i Holland, Danmark og Sverige, er udveksling af viden og erfaringer.
De fælles mål for Christian, André og Jesper vil altid være at hjælpe vores kunder med at overvinde udfordringerne i den dynamiske verden af Digital Forensics og at forbinde og opbygge et Forensic community.
Kunne du tænke dig at diskutere dine udfordringer med vores rådgivere? Kontakt os gerne.