Loopbaan

Security
Het werk van Gina Doekhie ‘lijkt wel wat op CSI’

Het werk van Gina Doekhie ‘lijkt wel wat op CSI’

Digitaal forensisch onderzoeker mag nu officieel rechter adviseren in strafzaken.

Gina Doekhie, digitaal forensisch onderzoeker © Fox-IT
22 maart 2019

Digitaal forensisch onderzoeker mag nu officieel rechter adviseren in strafzaken.

Digitaal forensisch advies wordt steeds belangrijker in de civiele rechtspraak en het strafrecht. Onderzoek moet op de juiste manier worden uitgevoerd, opdat het door een rechter kan worden geaccepteerd. Gina Doekhie, forensisch security-expert bij Fox-IT, staat sinds kort als officieel gerechtelijk deskundige voor strafrecht ingeschreven in het Nederlands Register Gerechtelijke Deskundigen (NRGD). Maar wat doet een forensisch IT-expert nou eigenlijk en hoe belangrijk is haar inschrijving in dat register? We vroegen het haar.

Gina Doekhie (31) studeerde Artificial Intelligence aan de Universiteit van Amsterdam en deed vervolgens een tweede master: Forensic Science. Na haar afstuderen bij het Nederlands Forensisch Instituut trad ze als forensisch security-expert in dienst bij Fox-IT. Dat is nu 6,5 jaar geleden.

Wat doet een forensisch IT-expert eigenlijk?

“Ik ben eigenlijk een digitale rechercheur. Samen met collega’s onderzoek ik sporen die digitale criminelen hebben achtergelaten op alle mogelijke apparatuur. We proberen digitale criminelen op te sporen en vervolgens bewijzen te verzamelen die kunnen bijdragen aan een veroordeling. Soms worden we door bedrijven gevraagd om digitale bewijzen te verzamelen. Dat kan gaan om een vermoeden van fraude, of bijvoorbeeld digitaal bewijsmateriaal wanneer ze een medewerker willen ontslaan. Andere keren helpen we de politie of de rechtbank bij opsporingszaken om bijvoorbeeld iemands identiteit te bewijzen. Er zijn dus verschillende doelen om digitaal onderzoek te doen.”

Wanneer de term ‘forensisch’ valt, denk ik gelijk aan CSI. In hoeverre lijkt jouw werk daarop?

“Het heeft overeenkomsten, in die zin dat wij ook proberen om criminelen op te sporen. Tegelijkertijd is zo’n televisieserie natuurlijk een stuk minder realistisch. Op tv lijkt het altijd wat makkelijker dan het in het echt is.”

Wat maakt jouw werk moeilijk?

“Verschillende aspecten. Neem het technische aspect. De digitale wereld verandert heel snel. Een nieuw besturingssysteem laat ook weer nieuwe sporen achter. Je moet dus continu bij blijven om te weten welke handelingen welke sporen achterlaten en wat die dan betekenen. Ook de interpretatie van sporen is lastig. Daarnaast is het niet altijd eenvoudig om die sporen en interpretatie begrijpelijk te maken voor niet-techneuten, zoals rechters en advocaten. Daarnaast biedt het sociale aspect soms uitdagingen, zeker wanneer je contact hebt met zowel de opdrachtgever als de verdachte.”

En wat maakt jouw werk zo leuk?

Lachend: “Ja, eigenlijk precies díe uitdagingen. Ik zit niet de hele dag achter een computer, maar ben ook vaak op locatie. Mijn werk is spannend en dynamisch, dat vind ik leuk. Iedere dag is anders. Je weet nooit wat er gaat gebeuren. Er kan zomaar ineens een grote hack aan het licht komen en dan moet ik de deur uit.”

Hoe ga je te werk?

“We maken onderscheid tussen twee type zaken: forensisch en incident respons. Het verschil tussen die twee is dat bij incident responszaken de dreiging er nog is. Dus er zijn nog hackers op het bedrijfsnetwerk die nog steeds schade aanrichten. Dan is het zaak om zo snel mogelijk de auto in te springen om de brand te blussen om zo de bedrijfscontinuïteit te kunnen waarborgen van de klant. Bij forensische onderzoeken is de dreiging er niet meer, maar werk je met een crime scene die je op sporen gaat onderzoeken die je iets kunnen vertellen over wat er is gebeurd en wie dat mogelijk gedaan kan hebben. Wat we in beide gevallen altijd doen, is het veiligstellen van de systemen. Dat betekent dat je een exacte kopie maakt van het bewijsmateriaal. Daarmee waarborg je de integriteit van de systemen op dát moment. Dat is belangrijk omdat je in een rechtszaak moet kunnen verantwoorden hoe je aan sporen bent gekomen. Het onderzoek moet opnieuw kunnen worden gedaan met dezelfde resultaten. Door de systemen veilig te stellen, kunnen we daarna onderzoek doen, zonder dat we de status van de apparatuur daarmee veranderen. Dat veiligstellen doen we overigens vaak op locatie. De ene keer gaat het om de bedrijfslaptop en -telefoon van een medewerker, maar in het geval van een hack kan dat ook oplopen tot bijvoorbeeld 150.000 computersystemen die geïnfecteerd zijn geraakt.”

En dan?

“Daarna is het een kwestie van onderzoeken en, een belangrijk deel van mijn werk, rapporteren. Soms word ik dan in de rechtzaal opgeroepen om mijn onderzoeksrapport te verduidelijken. Dat vind ik ook heel leuk aan mijn werk: ik ben van begin tot het eind betrokken bij een zaak. Van de intake, het daadwerkelijke onderzoek en de interpretatie van sporen in rapporten tot wellicht zelfs in de rechtbank.”

Bij welke opzienbarende of bekende zaken was jij betrokken?

“Helaas mag ik hier geen antwoord op geven. Maar we worden niet alleen ingeschakeld voor het verzamelen van bewijsmateriaal om een medewerker te ontslaan. Het gaat echt van fraude, tot moord tot kinderporno.”

Hoe houd je het hoofd koel wanneer je met een kinderporno-onderzoek te maken hebt?

 “Dat is heel moeilijk. Wanneer je bijvoorbeeld uit moet zoeken of een gebruiker zelf dat soort bestanden heeft gedownload of dat ze via malware op zijn systeem terecht zijn gekomen, hoef je natuurlijk de plaatjes en bestanden zelf niet te bekijken, maar soms zie je per ongeluk toch wel wat en dat is heel heftig. Ook de bestandsnamen die ik tijdens zo’n onderzoek tegenkom zijn misselijkmakend en moeilijk. Zeker omdat je vaak uren achtereen met zo’n onderzoek bezig bent, is dat heel heftig. Gelukkig doen we zulke onderzoeken met een collega, dus ik praat dan veel van me af. En sporten is dan ook een goede manier om afstand te nemen. Ik merk wel dat ik in dat soort zaken en enorme drive krijg en soms dag en nacht doorga met mijn onderzoek om zo goed mogelijk de zaak op te bouwen.”

Hoe makkelijk ben jij zelf te traceren via een digitaal spoor?

“Heel makkelijk! Voor mijn werk geef ik veel interviews, dus professioneel kun je me online heel eenvoudig vinden. Privé let ik veel meer op wat ik wel en niet online zet. Dat is ook de boodschap die ik jonge meiden meegeef wanneer ik voorlichting geef. Denk goed na wat je online post, want wanneer iets eenmaal online staat, staat het voor altijd online. Ik vind het belangrijk om dat bewustzijn te creëren bij het gebruik van social media en internet.”

Je bent inmiddels als officieel gerechtelijk deskundige ingeschreven in het Nederlands Register Gerechtelijke Deskundigen. Wat wil dat zeggen?

“Dat is bijzonder, want bij wet is bepaald dat rechters alleen deskundigen mogen inschakelen voor onderzoek of advies die in dat register staan ingeschreven. Er zijn hoge eisen verbonden aan inschrijving. Zo moest ik exact specificeren aan een internationale commissie wat mijn ervaring de afgelopen vier jaar was, hebben ze een aantal van mijn onderzoeksrapporten gelezen en alle referenties doorgeploegd. Deze inschrijving was iets dat ik al heel lang wilde, dus ik ben supertrots en blij dat het nu zo ver is dat ik rechters kan gaan helpen in zaken waar het ertoe doet. Ik hoop dat ik hiermee de samenleving nog een beetje veiliger kan maken.”

Lees meer over Loopbaan OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.