Digital efterforskning

Kriminelle bruger i stigende grad computere til at foretage kriminelle handlinger. Når virksomheder bliver deres offer, er konsekvenserne ofte svære at forudsige. Nogle gange opstår der kun en mistanke om noget kriminelt, og man skal finde ud af, om der faktisk har været en hændelse.

I mange tilfælde er en digital efterforskning nødvendig for at finde ud af, hvad der er sket. Hvis du for eksempel har mistanke om et databrud eller et potentielt hack. Man kan også foretage en undersøgelse for at finde ud af, om immaterielle rettigheder eventuelt er blevet stjålet, eller hvis der er mistanke om, at en medarbejder lækker firmahemmeligheder.

Secura er registeret som et privat undersøgelseskontor hos det hollandske Ministry of Justice and Security. Derudover har Secura medarbejdere, som er uddannede private, digitale efterforskere. Derfor er Secura i stand til at udarbejde rapporter og dokumenter, som kan bruges i en retsproces.

Hvad er digital efterforskning?

Så godt som alle virksomheder er i dag afhængige af informationsteknologi (IT). Denne udvikling skaber potentielle sårbare systemer, som ofte er forbundet med hinanden, og dermed udgør nye risici. Som i den fysiske verden er det vigtigt at beskytte den digitale verden mod uautoriseret anvendelse og at tage forholdsregler for at finde ud af, hvad der er sket i et bestemt system. Digital efterforskning er et område, der beskæftiger sig med at opdage og rekonstruere hændelser i digitale systemer.

Digitale undersøgelser er altafgørende for at lære af de hændelser, som er sket og for at undgå fremtidige hændelser. Brugere af informationssystemer efterlader trods alt digitale spor, når de bruger systemerne – ligegyldigt om det drejer sig om computersystemer, smartphones, mobiltelefoner, tablets eller netværk. Der findes digitale efterforskningsværktøjer og -teknikker til at sikre og analysere digitale beviser. Digitale efterforskningsværktøjer og -teknikker kan også bruges til for eksempel at genfinde mistede filer eller til at overvåge interne systemer.

Digital efterforskning bruges primært til undersøgelser inden for lovmæssige anliggender eller retshåndhævelse, som kan eller højst sandsynlig vil ende i en retssag; derfor lægges der vægt på lovmæssig antagelighed. Digitale beviser er ekstremt flygtige og kan let mistes eller ændres, hvis man er uforsigtig. Derfor er det nødvendigt at beskytte og håndtere digitale beviser på en måde, som sikrer, at de ikke forvanskes eller ødelægges.

Digital efterforskning er et område, som er under konstant udvikling. Digital efterforskning kan defineres som at bruge computer- og systemviden sammen med lovmæssig ekspertise til i en efterforskning at tilegne sig, behandle og analysere data på en måde, som efterlever lokale love og regler.

Hvilke typer digital efterforskning findes der?

Der findes forskellige digitale efterforskningsmetoder. Hvad hver type egner sig til, afhænger af den specifikke situation og bestemmes fra sag til sag. Derudover kan man også gå i en bestemt retning. Fx undersøge, hvor godt jeres virksomhed er forberedt på en eventuel hændelse. De fem mest almindelige efterforskningsmetoder forklares nedenfor.

Digital efterforskning af spor

En digital efterforskning af spor kan resultere i afgørende information i følgende situationer:

• Har en uautoriseret fået adgang til vores systemer?
• Sker der uautoriserede aktiviteter i vores virksomhed?
• Er følsomme data blevet kanaliseret væk eller på anden måde opnået under en sikkerhedsbrist?
• Er særlige sårbarheder i software eller systemer blevet udnyttet, og hvordan skete det?

Denne type efterforskning kaldes også ”post-mortems”, da det efter hændelsen er nødvendigt at fastslå, hvad der skete. Ved hjælp af specialsoftware er det muligt at udpege mistænkelige aktiviteter såsom:

• Kortlægning af mistænkelige aktiviteter ved at analysere forskellige systemressourcer;
• Anvendte (svindel) programmer;
• Åbne filer;
• Besøgte websites;
• Succesfulde/mislykkede loginforsøg;
• Tilsluttede USB-enheder såsom databærer.

Under en efterforskning er der meget kontakt med interessenterne i undersøgelsen. Når rapporten leveres, foregår der også en afrapportering. Afrapporteringen fokuserer på en kort gennemgang af undersøgelsen og relevante anbefalinger, så lignende hændelser undgås i fremtiden.

Secura har den nødvendige ekspertise til at udføre en digital sporanalyseefterforskning på forskelligt udstyr lige fra laptops til arbejdsstationer og telefoner.

Efterforskning af mobile enheder

Smartphones og tablets er blevet en del af vores hverdag og bruges også forretningsmæssigt. Via digital efterforskning er det muligt at undersøge sådanne enheder nøje og analysere forskellige spor bl.a.:

• Genfinding af opkaldshistorik;
• Installerede apps;
• Senest anvendte WiFi-netværk;
• Parrede enheder via Bluetooth;
• Besøgte websites;
• Genfinding af tilgængelige mail- og kalenderdata;
• Modtagne beskeder inkl. SMS, WhatsApp og lignende chat-programmer.

Men det er vigtigt, at enheden kan låses op. Moderne telefoner og tablets kan ikke undersøges på alle områder, hvis enheden ikke er låst op.

E-mail-undersøgelse

At undersøge en medarbejders e-mail kan være en del af den digitale undersøgelse. Ved hjælp af specialiseret software er det muligt at genfinde (slettede) e-mails inkl. vedhæftninger og kortlægge kommunikationen med forskellige parter. Denne metode kan også bruges til at fastslå, om fx malware er blevet spredt via e-mail.

Cloudmiljøer AWS & Azure-undersøgelser

Anvendelsen af cloudløsninger så som Amazon Web Services (AWS) og Microsoft Azure bliver mere og mere almindelig i virksomheders IT-infrastruktur. Secura er også i stand til at udføre efterforskninger af disse miljøer. Det indbefatter undersøgelsen af virtuelle maskiner og den dertilhørende logning af forskellige AWS- og Azure-ydelser.

Digital efterforskning af beredskabet

En efterforskning af beredskabet indikerer, i hvilket omfang en virksomhed er i stand til at indsamle, bevare, beskytte og analysere digitale beviser, som kan bruges effektivt i sikkerhedsundersøgelser, til besvarelse af spørgsmål fra myndigheder, i interne juridiske afdelinger eller ved en domstol. En efterforskning af beredskabet fokuserer på, hvor tilgængelige forskellige loginkilder er i jeres virksomhed og deres egnethed til at løse en efterforskningshændelse.

Workshop om digital efterforskning af beredskabet

I en eller flere workshops gennemgår Secura forskellige scenarier og trusler sammen med jeres tekniske eksperter og administratorer for at analysere, om jeres virksomhed er klar til at undersøge en hændelse til bunds. Dette er en vigtig del af cyber-robusthed, da det også kan øge gendannelsesmulighederne efter et digitalt angreb.

Workshoppen kan foregå som én eller flere halvdagssessioner og vil indbefatte de forskellige faser i en efterforskningshændelse inkl. sporing, analyse, inddæmning og gendannelsesmuligheder. Det anbefales at deltage i en workshop med dét team, som vil blive involveret i en rigtig hændelse. Efter workshoppen vil problematiske forhold blive beskrevet i en rapport.

Metodologien i forbindelse med digital efterforskning

En digital efterforskning indeholder de følgende syv trin:
 

Trin 1: Forberedelse

Det første trin i en efterforskning er at etablere et undersøgelsesmiljø (et efterforskningsrum). Undersøgelsesmiljøet inkluderer infrastruktur, hardware, software, logbog og handlingsprotokoller såsom at fastslå, hvem der er den øverst ansvarlige. I denne fase finder den indledende undersøgelse også sted, og fremgangsmåden fastsættes. Fremgangsmåden fastslår, hvad der skal undersøges, hvad de vigtigste og næstvigtigste spørgsmål er, og om der kan fremsættes hypoteser. Dette foregår naturligvis altid i samråd med kunden.

Trin 2: Anskaffelse

I denne fase af efterforskningen indsamles og sikres data. Dette foregår normalvis ved "at forestille sig" situationen. Anskaffelsen af databærere beskrives og samtykket noteres i en erklæring. Alle yderligere undersøgelsesaktiviteter af efterforskningskopier foretages. Originale databærere forbliver urørte.

Trin 3: Bearbejdning

Procestrinnene "Bearbejdning" og ”Analyse" kan foregå samtidig. I disse faser udpeges data og filtyper, filer dekrypteres og der tages stilling til kopifiler.

Trin 4: Analyse

Under en efterforskning er det normalt at fastsætte en tidslinje. En tidslinje bruges til at kortlægge potentiel mistænkelig aktivitet for at kunne gennemføre handlinger inden for en angiven tidsramme. Til det formål registreres data i specialsoftware til en hurtig analyse. På baggrund af dette laver man en tidslinje for tiltag (fx hvem var logget på systemet hvornår, hvornår blev hvilke programmer brugt, hvornår blev hvilke websites besøgt, etc.).

Trin 5: Verifikation

Verifikationsfasen verificerer, om angivelige beviser faktisk kan bruges som beviser. Data skal kunne føres tilbage til en påviselig kilde og skal kunne kobles til en formodet eller mistænkelig aktivitet. Konklusionerne fra analysen valideres på dette trin.

Trin 6: Præsentation

På dette trin deles rapporten og resultaterne præsenteres. Alle udtalelser fra vidner diskuteres i denne fase. Hvis det viser sig, at det drejer sig om en mulig kriminel handling, forberedes resultaterne til at kunne bruges i en efterforskning.

Trin 7: Arkivering

Den sidste fase i efterforskningen drejer sig om arkivering. Al data, der har med undersøgelsen at gøre, beviser, software og hardware kan arkiveres. Hvis der skal foretages en egentlig efterforskning, skal tilgængeligheden af disse informationer overholde loven.

Fremgangsmåden for at opnå en succesfuld digital efterforskning

Vores fremgangsmåde

Secura’s fremgangsmåde inden for digital efterforskning er faseinddelt med plads til forskellige testmetoder alt afhængig af formålet, miljøet, som skal undersøges (arkitektur, platform, applikation, etc.), industriens krav eller national lovgivning i de enkelte lande.

Dette sikrer en professionel tilgang til projekter, hvor vi omhyggeligt og metodisk undersøger sikkerhedsanliggender. Dette hjælper os med at komme hele vejen rundt, være præcise og sikrer, at de korrekte forhold undersøges.
For at sikre en grundig og succesfuld undersøgelse er det vigtigt, at Secura har adgang til alle relevante datakilder, der har betydning for undersøgelsen. Antallet af datakilder kan øges, hvis det viser sig at være nødvendigt under undersøgelsen. Tilføjelsen af nye datakilder foregår altid i samråd med kunden. Der er selvfølgelig altid en tæt kontakt under processen for at drøfte fremgangen i undersøgelsen.

Inden efterforskningen udarbejder Secura en plan for fremgangsmåden, som skal godkendes af kunden. Når først planen er godkendt af kunden, og vi har modtaget det nødvendige samtykke, begynder den egentlige efterforskning. Når undersøgelsen afsluttes, udarbejder vi en skriftlig rapport med resultaterne, tidslinjen og beviserne.

Det er vigtigt at nævne, at Secura er begrænset i sin efterforskning med hensyn til, hvorvidt logning og spor er tilgængelige for de databærer, der skal undersøges. Der sker nogle gange det under en undersøgelse, at det må konkluderes, at spor allerede er blevet slettet eller tabt. Derfor kan vi ikke garantere om det vil være muligt at fastslå helt præcis, hvad der er sket. Det er vigtigt at bemærke, at Secura ikke beskæftiger sig med Incident Response (IR) aktiviteter, som inkluderer bekæmpelsen af et igangværende angreb.

Lovmæssige og tekniske rammer

Secura overholder gældende lovgivning i forbindelse med alle vores opgaver. I forbindelse med efterforskninger er særligt AVG og Computer Crime Act vigtige. Det betyder bl.a., at der ikke kan anvendes nogle former for ulovlige metoder til at finde beviser såsom at hacke sig ind i online konti uden et samtykke fra ejeren af disse konti. Det betyder også, at persondata, som ikke er relevant for efterforskningen, anonymiseres i rapporterne.

Secura har en sikkerhedsstyringsproces, som er certificeret iht. ISO27001-standarden. Securas undersøgelseslaboratorium er certificeret iht. ISO17025-standarden. Securas kvalitetsprocesser er certificeret iht. ISO9001-standarden.

Læs om cyber security eller vend tilbage til vores ydelser inden for informationsteknologi (IT).