Beheer

Security
cybercriminaliteit

Politie moet zich scholen in digitaal bewijs

© CC0-pixabay Pete Linforth
18 april 2014

 

Het wordt dringend tijd voor politie en opsporingsdiensten om de manier waarop ze met digitaal bewijs omgaan te veranderen. Iedere rechercheur zou in staat moeten zijn om snel en eenvoudig onderzoek te doen aan digitaal bewijs, variërend van foto’s, video’s, e-mail, sociale media en internet-sporen tot documenten. Iedere dag dat een computer of mobiele telefoon langer op een politiebureau ligt te wachten om onderzocht te worden is een dag dat een verdachte langer vrij rondloopt.

Steeds vaker bevatten elektronische apparaten bewijs dat op één of andere wijze te maken heeft met de planning, coördinatie, het opdracht geven tot of de getuigenis van een misdaad. En als deze apparaten in beslag worden genomen dan is het nu nog gebruikelijk dat ze naar digitaal forensische labs gestuurd worden voor nader onderzoek. Inmiddels kunnen deze labs de enorme toestroom van digitaal bewijs in strafzaken niet langer aan. De achterstand in onderzoeken is toegenomen van weken tot maanden. Digitaal forensische experts kunnen niet snel genoeg opgeleid worden en bovendien krijgen ze het steeds drukker met cybercrime-onderzoeken. Het aantal experts dat nodig is om de bergen digitaal bewijs in ‘gewone’ misdaad te analyseren is onbetaalbaar.

 

Grootste probleem

Maar het grootste probleem is waarschijnlijk dat door het versturen van digitaal bewijs naar specialisten, steeds vaker het belangrijkste bewijs in strafrechtzaken in eerste instantie niet bij de rechercheur terechtkomt. Juist vanwege het enorme volume is (achtergrond)kennis van de rechercheur over het onderzoek onmisbaar om te bepalen welke informatie wel relevant is en welke informatie niet. Weliswaar bestaan er zogenaamde triage-programma’s om digitaal bewijs bij een huiszoeking of op de plaats delict te selecteren, maar de mogelijkheden daarvan zijn beperkt en het lost niet het probleem op dat digitaal forensische experts onvoldoende kennis hebben om te bepalen welk bewijs van belang is.

De digitale experts zien verbanden met ander – niet digitaal – bewijs over het hoofd. Zelfs de rechercheurs weten vooraf niet precies hoe het uiteindelijke bewijs er uitziet en kunnen de waarde van het bewijs pas inschatten als ze het met eigen ogen zien. Bij e-discovery-dienstverlening is het heel gebruikelijk dat advocaten zelf documenten en e-mails doorlezen nadat die door digitaal forensische experts zijn ingeladen in online reviewplatformen. Voor rechercheurs bij de politie ligt echter de nadruk meer op andere digitale sporen zoals foto’s, video’s, internet-geschiedenis, geïnstalleerde programma’s en mobiele-telefoongegevens. Bestaande e-discovery-platformen zijn daarom ongeschikt en er is behoefte aan nieuwe gebruiksvriendelijke software.

Nederland loopt voorop op dit terrein maar ook hier is nog geen goede oplossing (zie kader). In veel politieorganisaties delen kleine lokale eenheden schaarse faciliteiten, zoals digitaal forensische expertise, op regionaal niveau. In de praktijk betekent dit dat alleen belangrijke (grootschalige) onderzoeken voldoende prioriteit krijgen. Veel digitaal bewijs blijft daardoor op de plank liggen. Samenwerking tussen de regionale experts en de lokale rechercheurs is gebrekkig en een goede vraagstelling ontbreekt in veel gevallen. Verdachten kunnen pas na weken of maanden geconfronteerd worden met belastend materiaal uit het digitale bewijs (zie kader ‘Nieuwe aanpak’).

 

Samenwerking

Als rechercheurs zelf in digitaal bewijs kunnen zoeken dan bestaat het gevaar dat ze geen beroep meer zullen doen op de experts. Ook niet in de gevallen waarbij een expert juist nodig is. De software moet daarom niet alleen gericht zijn op rechercheurs maar ook op experts en de samenwerking tussen rechercheur en expert. De expert moet net als de rechercheur toegang hebben tot het systeem en bijzonderheden over het bewijs kunnen opvragen. De software kan signaleren wanneer een expert nodig is. Bijvoorbeeld als er versleutelde bestanden tijdens de verwerking zijn gedetecteerd, als er bestandstypen zijn gedetecteerd die niet ondersteund worden, als sporen leiden naar web-e-mail, als er data in online sociale netwerken aanwezig zijn et cetera.

Deze nieuwe werkwijze betekent een wezenlijke verandering in het bedrijfsproces van de recherche. Het huidige onderzoeksproces moet getransformeerd worden. Het is nog lastig om voor deze visie draagvlak te krijgen binnen de korpsleiding maar uiteindelijk kan ook de politie onder druk van bezuinigingen, de explosieve groei van het digitaal bewijs en het chronische gebrek aan digitaal forensische experts niet om deze transformatie heen. Juist ook het management heeft veel te winnen bij deze transformatie doordat de inzet van middelen en mensen transparanter en flexibeler wordt.Veel digitaal bewijs blijft op de plank liggen

Nieuwe aanpak

De Politie Zone Schelde-Leie in De Pinte, Oost-Vlaanderen, heeft onlangs een winkeldief op heterdaad betrapt. De verdachte verdedigde zich met het klassieke excuus – dit was de allereerste keer dat hij iets had gestolen en hij zou het nooit meer doen. Tijdens een huiszoeking werden geen gestolen goederen gevonden en normaal gesproken zou de politie hem geloven. Maar deze keer verliep het anders. Men gebruikte nieuwe software waarmee rechercheurs zelf digitaal bewijs kunnen verwerken en analyseren op een forensisch verantwoorde wijze. De rechercheurs hebben de computer van de verdachte in beslag genomen en vonden op de harde schijf foto’s van andere gestolen goederen die hij had geplaatst op een website voor tweedehands artikelen.

De politie in De Pinte is een van de eerste lokale politie-eenheden wereldwijd die besloten hebben om hun rechercheurs via een internetbrowser vanaf hun standaardwerkplek in staat te stellen om snel en effectief waardevolle informatie van in beslag genomen mobiele telefoons en computers te onderzoeken – zonder nog te hoeven wachten op de experts in het digitaal forensische lab. Sinds de ingebruikname van de nieuwe software hebben ze meer computers in beslag genomen en meer dan 10 Tb aan data verwerkt. In de eerste twee weken alleen al hebben onderzoekers vier zaken met twaalf bewijsstukken kunnen onderzoeken. Normaal gesproken zou het onderzoek in deze zaken maanden hebben stilgelegen omdat er geen prioriteit wordt gegeven aan de regionale computercrime-eenheid.

Stand van zaken in Nederland

Het Nederlands Forensisch Instituut (NFI) verricht al sinds 1992 digitaal forensisch onderzoek voor de Nederlandse politie (zie onder meer AutomatiseringGids van 14 augustus 1997). Gedreven door de snelle technologische ontwikkelingen hebben de wetenschappers van het NFI een eigen systeem ontwikkeld om via een webbrowser digitaal bewijs te doorzoeken. Initieel was dit systeem bedoeld voor intern gebruik en blinkt het vooral uit in een volledige analyse van digitale media inclusief geavanceerde reconstructie van gewiste bestanden. Bij gebrek aan alternatieven wordt deze dienst van het NFI nu ook regelmatig ingezet om rechercheurs inzage te geven in eenvoudig digitaal bewijs maar inmiddels loopt men tegen de grenzen van het ontwerp aan.

Sinds eind jaren negentig leveren ook commerciële bedrijven digitaal forensisch onderzoek als dienst aan het bedrijfsleven en in de vorm van trainingen en producten aan de politie in Nederland. Naar aanleiding van de oplopende achterstanden bij het analyseren van digitaal bewijs bij de politie zijn ook commerciële bedrijven de afgelopen jaren begonnen met de ontwikkeling van nieuwe producten om dit probleem op te lossen waarbij eenvoud, gebruiksvriendelijkheid en schaalbaarheid centraal staan. In samenwerking met digitale experts van de politie zijn een aantal landelijke pilots uitgevoerd en zijn mondjesmaat systemen in gebruik genomen. Met de komst van de Nationale Politie in 2013 lijken de ontwikkelingen in Nederland echter tot stilstand te zijn gekomen terwijl juist nu een transformatie van rechercheproces noodzakelijk is.

Niet het NFI maar de Nationale Politie zou een eigen dienst moeten aanbieden om digitaal bewijs doorzoekbaar te maken voor rechercheurs. Hoe ze dat moeten doen is nog niet duidelijk. Het NFI investeert nu veel geld in de ontwikkeling van compleet nieuwe software die wel schaalbaar en gebruiksvriendelijk is en wil dit jaar nog dat de Nationale Politie haar dienst overneemt. Dat lijkt onwaarschijnlijk aangezien de landelijke ICT-infrastructuur daar nog niet klaar voor is en de nieuwe software zich nog moet bewijzen. Daarnaast is het de vraag of de Nationale Politie de komende jaren niet beter af is met commerciële software die inmiddels al in landelijke pilots bij de politie voor de reorganisatie met succes beproefd is.

Europese conferentie

DFRWS (Digital Forensics Research Conference) is een organisatie van vrijwilligers die jaarlijks een wetenschappelijke conferentie, technische werkgroepen en wedstrijden organiseert om de ontwikkeling van digitaal forensisch onderzoek te stimuleren en richting te geven. Sinds de eerste conferentie in 2001 komen wetenschappers en professionals jaarlijks bij elkaar in een informele omgeving. Door een gezamenlijke lobby van het NFI, Fox-IT en de Hogeschool van Amsterdam heeft de DFRWS-organisatie besloten om dit jaar voor het eerst een Europese editie (DFRWS EU) te organiseren van 7-9 mei in Amsterdam. Meer informatie over het programma, locatie, keynotesprekers en workshops, zie: http://www.dfrws.org/2014eu.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!