Om digitala bevis

En nyligen utgiven doktorsavhandling avseende digitala bevis väckte mitt intresse häromdagen. Avhandlingen ”Om informationstekniskt bevis” av Jonas Ekfeldt tar bland annat upp aspekter gällande korrekt terminologi, felkällor vid framtagning och värdering av digitala bevis samt rättsväsendets behov av nya kunskaper för att kunna behandla digital bevisning på rätt sätt.

En avhandling av denna typ kan även ha ett värde utanför rättsväsendet. Det kan gälla allt från så enkla saker som vilka forensiska verktyg och tekniker som används, hur bevisinsamlingsuppdrag bör formuleras och vilken kompetens som krävs av en forensiker, till hur rättsväsendet ser på olika former av digitala bevis.

Det finns givetvis många former av digitala bevis. I allmänhet tänker vi som arbetar med säkerhet ofta på ett antal fokusområden, exempelvis

• Hur ska vi analysera ett angrepp mot ett av våra egna IT system
• Vad händer om en av våra användare utsätts för dataintrång
• Vad händer om en av våra användare eller kunder tapparsin dator eller mobil

Det finns alltså ett behov av både säkerhetsanalyser och forensiskt kunnande långt utanför den rättsliga arenan. Det händer givetvis också att en verklig händelse leder till polisanmälan och att underlag från berörda IT system lämnas ut i händelse av att en förundersökning inleds.
Inom polisen och de rättsvetenskapliga institutionerna är situationen delvis annorlunda

• Digital information kan användas för spaning (masttömning och samtalslistor)
• En misstänkts dator, dataminnen och mobiler kan undersökas för att ge bevisning
• En misstänks dator eller hemnätverk kan matchas mot spår av dataintrång
• En misstänkts konton kan matchas mot aktiviteter i ett IT system
• Vid behov får man söka hjälp av teleoperatör, bank eller annan berörd organisation

Det är alltså mer vanligt att denna typ av forensiska undersökningar koncentreras till den misstänktes egendom och att resultaten kommer att ifrågasättas av den misstänkte. Exempelvis kan en misstänkt hävda att utrustningen var utlånad, stulen eller fjärrstyrdes varvid en forensisk undersökning ofta tar med dessa aspekter redan vid genomgången.

Det finns redan generella tekniker för att undersöka en misstänkts dator. Exempelvis används normalt en väldefinierad teknik för att klona hårddisken från en beslagtagen dator för att minska risken att forensikern påverkar IT systemet och för att kunna ge en annan expert vid ett senare tillfälle samma möjligheter att gå igenom materialet. Det är också ganska vedertaget vad en forensisk undersökning i dessa fall syftar till, exempelvis att gå igenom bilder, dokumentet, kontakter och meddelanden som skulle kunna knytas till ett misstänkt brott. Givetvis är det viktigt att uppdragsformuleringen är rätt från början, likaså att forensikern väl skiljer mellan egna observationer och egna slutsatser.

Flera av de slutsatser som dras i dessa avseenden i avhandlingen är förhoppningsvis redan naturliga för de som arbetar med granskningar och revisioner av IT system, exempelvis att man måste beskriva vilket uppdrag som erhållits, vilka eventuella omständigheter som ska påvisas (jämför användning av kontrollmål vid en revision), vilken terminologi som använts i det aktuella sammanhanget, vilka observationer som gjorts (vilket data eller loggposter som selekterats fram), vilka slutsatser som kan dras och hur säkra dessa slutsatser är. Detta är i sig inget konstigt, men de skräddarsydda kurser som finns för forensiker tar inte alltid upp dessa aspekter i önskad omfattning.
En annan aspekt är att utvecklingen inom IT området är fortsatt snabb och att rättsväsendet i någon mening alltid måste finna sig i att vara lite grann på efterhand.

Vad finns det då för slutsatser att dra för oss som arbetar med säkerhet av avhandlingen?

För mig var den viktigaste punkten nog att stämma av terminologi och tankesätt mot de som gäller inom det svenska rättsväsendet. Flera av de kunskaper vi har kommer utifrån och är antingen givna av de professionella organisationer vi personligen tillhör eller av de organisationer som tillhandahåller IT produkter eller anvisningar för säker användning av IT produkter. Flertalet av dessa organisationer är givetvis utländska. Vi är därmed vana att arbeta i blandad miljö med både svensk och engelsk terminologi och i de flesta fall även en områdesspecifik fackterminologi.
De rättsliga regler och säkerhetsprinciper vi lärt oss är ofta mer eller mindre globala. Det är då värdefullt att läsa en avhandling på svenska som dessutom utgår från svenska rättsregler även om det tekniska djupet i avhandlingen inte tillför något egentligt nytt. När vi exempelvis använder en forensisk programvara eller följer en undersöknings och rapporteringsmall så är underlagen normalt på engelska och det är då värdefullt att ha ett dokument som använder mer eller mindre vedertagna svenska begrepp eller som avhandlingen kanske snarare avsåg att göra – att redogöra för vilken osäkerhet som finns i dessa begrepp, vilka felkällor man bör ta hänsyn till vid sammanställning av utredningar och hur man ska presentera utredningar med minst risk för juridiska missuppfattningar.

Även sammanställningen i avhandlingen av rättsfall och lagar som berör digitala bevis eller IT system var av ett visst intresse. Samtidigt blir varje sammanställning av denna typ relativt begränsad avseende hur mycket som kan skrivas om varje fall. Det ligger i sakens natur att domar och förundersökningsprotokoll ofta ger en mer detaljerad och kompletterande bild av hur digitala bevis samlas in, används och slutligen värderas.

Min slutsats är avhandlingen hursomhelst är väl värd att laddas hem och ägnas några timmars läsning av den som är intresserad av ämnesområdet även enbart ur ett mer renodlat säkerhetsperspektiv.

Länk till avhandlingen Om informationstekniskt bevis: http://su.diva-portal.org/smash/get/diva2:900594/FULLTEXT05.pdf