Digital etterforskning

Deler av det som blir tatt opp i artikkelen er hentet fra mine masterstudier innen digital etterforskning og studieturer.

  • Endret

Alle analysene er ikke tatt med. 74 % av dataetterforskerne i distriktene har deltatt i en av mine undersøkelser. Datamining er benyttet som analysemetode, men forklaring av denne er utelatt da det ville bli for omfattende for denne artikkelen. Det vil heller være gjenstand for en senere artikkel om Datamining relatert til digital etterforskning. Jeg vil også påpeke at det jeg skiver i denne artikkelen er mitt personlige syn og ikke nødvendigvis Politihøgskolens(PHS).

Digital etterforskning er:

Etterforskingsprosessen som benytter seg av vitenskapelige testede metoder, teknologi og verktøy for å eksaminere digitale objekter ved at det fremkalles og testes teorier som kan benyttes som digitale spor/bevis i en rettssak for å besvare spørsmål om handlinger som er begått(Carrier & Spafford, 2004).

Historisk tilbakeblikk

I Norge har vi drevet med digital etterforskning siden datakrimteamet hos ØKOKRIM i 1995 ble etablert. Etter en lang prosess ble Datakrimsenteret opprettet i ØKOKRIM i 2002. I 2004 ble Datakrimsenteret en del av KRIPOS og heter nå datakrimavdelingen. Fra 1996 har vi hatt utdanning innen digital etterforskning ved PHS, der dataetterforskere fra distriktene har deltatt.

De som går på studiet Digital Forensics inneværende år får en mye mer teknisk utdanning som bygger på vitenskapelige metoder, nyere teknikker, verktøy og forskning enn noen gang tidligere. Hovedsakelig har dette fagfeltet vært drevet av den teknologien som har vært gjenstand for etterforskning og tilgjengelige verktøy, og ikke vitenskapelige offentliggjorte teorier som har vært akseptert, testet og validert(Carrier, 2006).

Kompleksitet og utfordringer

I 2008 er digitalt utstyr viktig i enhver person liv ved kommunikasjon og informasjonsdeling. Hver dag dukker det opp ny programvare som kan lastes fra Internett, samt enheter som gir nye muligheter. Dette reflekterer den teknologiske kompleksitet som en dataetterforsker står overfor som er illustrert i figur 1.

Det er utenfor denne artikkelens ramme å forklare detaljert figur 1. Hensikten er å vise kompleksiteten innen fagområdet i dag. Roten på treet viser mangfoldet innen datalagrings systemer. Over stammen vises digitale etterforskningsområder og applikasjonsfamilier. I tillegg er datamengden svært ofte i de fleste sakene som analyseres. På de fleste områdene kreves det forskning og nye verktøy.

Dataetterforskerne

Fra juni måned 2008 skal alle politidistrikt ha ansatt en dataetterforsker. Det er i dag totalt 45-50 dataetterforskere i norske politidistrikter. De fleste dataetterforskere oppgir at de har en 100 % stilling som skal være dedikert til digital etterforskning. Men svært mange oppgir at de i praksis er annerledes. De er satt opp på vaktlister på kriminalavdelingen, vakttjeneste iretten, foretar taktisk etterforsking, patruljerer gatene.

Majoriteten av dataetterforskerne i politidistriktene har i tillegg til noe datateknisk utdanning også vanlig politiutdanning. I alle år har polititjenestemenn blitt behandlet som «poteten» - til alle typer arbeidsoppgaver i politiet. Dette er både en styrke for politiet, men også en stor svakhet. Det kan virke som det er utilstrekkelig kunnskap i politiet til å ivareta denne type spisskompetanse. Ofte er manglende ressurser et bidrag til dette.

Dette kan bidra til følgende:

1. Lang saksbehandlingstid innen digital etterforskning. Dette går ut over alle typer straffesaker da det som oftest finnes beslaglagt data som skal analyseres i nesten alle typer straffesaker i dag.

2. Fare for rettssikkerheten. Det har forekommet at vanlige politifolk har lastet ned programvare fra Internett, sikret og analysert digitale spor uten å vite hva de faktisk har foretatt seg. Dette er som å pensle et fingeravtrykk med mel. Videre har nye dataetterforskere blitt satt til å analysere saker uten at de har fått opplæring i bruken av analyseverktøy som er benyttet. Etterforsker har gjort dette med de beste intensjoner, men har ofte ikke nok kompetanse til å skjønne hva en gjør verken rett eller galt.

3. Kostbar utdanning får ikke tilstrekkelig effekt. Når en dataetterforsker har vært på kurs har han kun fått en liten smakebit av hva som er mulig. Det er på egen lab kompetansen må videreutvikles.

Lab, utstyr og programvarebehov

For å gjennomføre digital etterforskning må en ha utstyr og programvare. Analysefunn viser at blant dataetterforskere viste det seg at de fleste hadde en dataanalysemaskin og minst et analyseverktøy. Flere hadde ikke oppgradert verktøyene sine og hadde utrangerte maskiner. Mange klaget på liten plass, høy varme, støy og støv(figur 2). Videre følte de at nærmeste leder forsto deres behov, men at leder hadde liten gjennomslagskraft når ressursene skulle prioriteres.

Å ha utrangerte datamaskiner og utdatert analyseverktøy er som å se en polititjenestemann foreta biljakt på tråsykkel. For at dataetterforsker skal kunne både være effektiv og løse dagens problemstillinger er det en betingelse at datalaben og utstyret er oppdatert og utviklet for formålet. Slikt utstyr bør oppdateres hvert 2-3 år avhengig av slitasje og programvare må jevnlig oppdateres.

Analysene viste at det var det kun ett distrikt som hadde langsiktige (3 årige) investeringsplanerplaner for dette. I øvrige distrikter ble investeringer hovedsakelig gjort fra år til år, dersom en sak krevde dette eller ved deltagelse på kurs. En lengre planleggingshorisont vil gjøre dataetterforsker mer effektiv, samt gi bedre økonomistyring av fagområdet.

At det ikke finnes langsiktige planer henger nok sammen med at dataetterforsker har hatt manglende kompetanse og liten kunnskap om hva slags prosesser ledelsen må forholde seg til når investeringer skal foretas. Uansett er det et lederansvar å se til at dataetterforsker har adekvate verktøy og arbeidsfasiliteter. I mange andre land har det vært gitt 3-5 dagers kurs for lederne relatert til dette fagfeltet.

Jeg har fått tilgang til dette opplæringsmaterialet. CEPOL arranger årlig kurs for ledere av dataetterforskere. Disse er også tilgjengelige for norske politiledere, men hittil har ingen nordmenn deltatt.

I Sverige og England er det utviklet en såkalt veileder for hva slags utstyr og programvareen bør ha på en datalab (ACPO, 2004). Det finnes også god faglitteratur som en kan støtte seg til og som beskriver viktige variabler som bør vurderes ved planleggingen av datalab (Brown, 2006; Nelson, Enfinger, Phillips, & Steuart, 2006).

I Norge har det ikke vært utviklet tilsvarende veiledere, men ved siste års kull på studiet "Digital Forensics" ved PHS er det utviklet forslag til en veileder i sammen med studentene, som er dynamisk og skalerbar. Dataetterforsker i Sogn og Fjordane som er student ved studiet har benyttet denne veilederen i samarbeid med ledelsen ved planleggingen av ny dataanalyselab.

Kompetanse

I tillegg til utdanning og kurs er det viktig at kompetanse utvikles i politidistriktene ved at dataetterforskerne bruker faglitteratur og fagforum på internett ved problemløsning. Analysene viser at de som hadde lite utdanning, leste i liten grad faglitteratur, men brukte i noen grad Internett. Dette kan henge sammen med at disse har lite kunnskap om hva slags faglitteratur som er relevant, at de opplever at tilgjengelig faglitteratur er for vanskelig å tilegne seg eller at det simpelthen ikke er økonomi til dette.

Alle disse begrunnelsene er ofte hørt hos nye studenter på PHS. Jeg hadde ønsket at alle dataetterforskere kunne vært tilknyttet det nettbaserte læringssystemet ved PHS, fordi det der finnes oppdatert faglitteratur og tips om bruk av verktøy. Men dette har ikke vært mulig da PHS må forholde seg til lisensregler og har lite personell til å ivareta dette fagfeltet.

Det kreves opplæring ved bruk av alle verktøy fordi de oppdateres ofte, har ulikt grensesnitt, samt rapporterer funn ulikt(Turner, 2005). En kan derfor ikke alltid stole blindt på alle funne med kun et verktøy. Dataetterforsker må kunne teste sine funn med andre verktøy. Derfor er det uforsvarlig å sette en dataetterforsker til å benytte et ukjent verktøy uten opplæring dersom analysen ikke blir kvalitetssikret etterpå. Mange dataetterforskere oppga at de opplevde dette som utrygt, spesielt når det heller ikke var økonomi i distriktene til analysekurs.

Analysefunn viser at dataetterforskere som hadde fått kurs og jobbet i 100 % som dataetterforsker ved økonomiavsnitt, var langt mer effektive med hensyn til antall saker de hadde klart å analysere fra operasjonen Enea. Analysene viste også at de dataetterforskerne som ikke hadde fått noen form for kursing i liten grad klarte å nyttiggjøre seg de verktøyene som Datakrimsenteret utviklet og anbefalte.

Utdanning er helt avgjørende for at dataetterforsker skal kunne være effektiv. Videre viser funn at tilretteleggelse fra KRIPOS er mer eller mindre verdiløs og bortkastet tid dersom dataetterforskerne ikke har nok kompetanse til å kunne utnytte denne.

Mentorordning?

Hos West Midlands Police i Birmingham har de utviklet en mentorordning og et felles datasystem for dataetterforskerne i driftsenhetene. Hver av de sentrale data etterforskerne hadde ansvar for å veilede dataetterforskere på de lokale driftsenhetene vi a datasystemet. På den måten kunne mentoren følge med på analysen, samt koble seg opp til den lokale etter­forskers dataanalysemaskin og hjelpe. Videre ble alle som var pålogget systemet, møtt med et elektronisk forum.

Her forgikk det meste av kommunikasjonen mellom de sentrale dataetterforskerne og lokale dataetterforskere. Det ble her lagt til rette for kontinuerlig kompetanseoverføring og kvalitetssikring. Selv om den sentrale datakrimavdelingen utførte veiledning av dataetterforskerne vardet driftsenhetene selv som dekket kursing, datateknisk utstyr og analyseverktøy.

Analysefunn viste at de fleste dataetterforskerne ønsket at KRIPOS skulle ha faglig -og personalansvaret for alle dataetterforskerne i Norge selv om de ønsket å være plassert i distriktene. Det var kun noen få med relativt høy utdanning som syntes at forholdene skulle være som de er i dag. Jeg tolket funnene som et tegn på stor frustrasjon hos dataetterforskerne.

I tillegg til fortsatt utdanning og kurs ved PHS ville en lignende mentorordning som i Birmingham kunne bidratt til økt kompetanse og bedre kvalitet på all dataetterforskning, samt at Politimesterens selvråderett fortsatt besto. Uansett må det en utredning til for å tilpasse en eventuell mentorordning til norsk forhold.

Forskning?

I dag finnes det ingen akademisk forsknings­avdeling i politiet i tilknytning til dette fagfeltet. Det finnes i dag personer utenfor i politiet i Norge med doktorgrader innen digital etterforskning(Andre Årnes og Svein Willassen). I tillegg er Inger Marie Sunde snart ferdig med sin doktorgrad. Videre finnes det personell med datatekniske og matematisk doktorgrader i politiet(Rune Fløisbonn og Thomas Wahlmann).

Mitt ønske er at det ble utviklet en seksjon tilknyttet PHSs forskningsavdeling som fokuserte på forskningsrelaterte spørsmål knyttet til digital etterforskning. Utfordringer er det nok av. Selv om KRIPOS har forsøkt å fokusere på metodeutvikling, ser det ut som det har vært vanskelig å få dette til siden disse har måttet fokusere på etterforskning.

Forskning trenger forskningsro og ikke konkurrerende aktiviteter som å få unna straffesakene. Som jeg skisserer over så har vi den nødvendige kompetansen i Norge til å kunne utvikle et slikt forskningsmiljø.

Med økt satsning på kompetanseheving innen dataetterforskning, tilstrekkelige midler avsatt til utstyr og programvare kombinert med en mentorordning og forskningsseksjon ved PHS er jeg overbevist om at Politiets effektivitet innen dette fagområdet ville økes betydelig.

Til toppen