Slik ser dashbordet til Hansken ut, etter at den har analysert innholdet i en større fil.
Slik ser dashbordet til Hansken ut, etter at den har analysert innholdet i en større fil. (Skjermbilde: Kripos)

Nederlansk big-data-program analyserer store mengder data på rekordtid. Nå anbefaler Kripos at norsk politi får ta det i bruk.

Norge er det første landet som får prøve nederlendernes big-data-flaggskip «Hansken».

Ved Netherlands Forensic Institute, NFI, har dataeksperter i mange år jobbet for å utvikle løsninger som skal forenkle digital etterforskning. Deres nåværende flaggskip, «Hansken», er ment å svare på behovet for å kunne analysere store mengder data, «big data», og gjøre dataene lett tilgjengelig for etterforskere.

Det siste halve året har Kripos, sammen med etterforskere fra politidistriktene, testet ut Hansken i Kripos' lokaler på Brynseng i Oslo. I disse dager sluttføres rapporten som skal leveres Politidirektoratet, der Kripos anbefaler at politiet nyttiggjør seg av programvaren.

Kort fortalt er Hanskens fortrinn at den kan analysere og sortere innholdet i store såkalte speilfiler, kopier av for eksempel harddisker eller mobiltelefoner, raskt. Deretter får etterforskerne, gjennom nettleseren sin, opp grafer som viser hva slags type innhold som befinner seg i filen og mulighet til å sortere og søke i innholdet etter en rekke parametere.

Chatter og e-post kan for eksempel sorteres etter brukernavn og adresser. Bilder kan sorteres etter dato eller GPS-merking, filer kan sorteres på filtyper – og mye mer. Hvis noen sier at et bilde ble tatt på et klokkeslett på en spesifikk dato, er det en smal sak å finne ut av om det stemmer, ettersom bildets metadata allerede er analysert og sortert av programvaren. Sorteringen gjøres enkelt tilgjengelig gjennom nedtrekksmenyer og grafikk i et nettleservindu, slik at etterforskere raskt kan navigere seg gjennom et enormt datamateriale. 

Norge er det første landet utenfor Nederland som kan få muligheten til å benytte seg av nederlendernes dataverktøy.

– Vi mener det er en programvare man bør se mer på, konkluderer Ketil Froyn, en av prosjektlederne som har testet programvaren ved Seksjon for elektroniske spor ved Kripos.

Ketil Froyn og Per Jørgen Walstrøm ved Kripos har testet Hansken. Foto: Torkjell Trædal

Testet av politietterforskere

Etter at Politidirektoratet i fjor ba Kripos om å teste programvaren, anskaffet Kripos datautstyr og programvaren fra Nederland. Deretter ble etterforskere fra Politidistriktene bedt om å delta i testingen og om å ta med seg store og ferdig etterforskede saker. Sakene ble «spilt» i Hansken. Kunne etterforskerne finne mer informasjon? Kunne de oppdage nye måter å arbeide på?

– Hansken har et nettlesergrensesnitt. Det er ikke et program med mange ukjente menyer. Alle har brukt internett og det tok ikke lang tid før etterforskerne kunne jobbe i programvaren med sakene sine, også de uten spesiell teknisk kompetanse, forteller Per Jørgen Walstrøm, den andre av Kripos' prosjektledere.

– De syntes det var et nyttig verktøy. «Når kan vi få dette?» var det flere som spurte om. Mens mange etterforskere i dag trenger hjelp fra spesialetterforskere for å tolke databeslag, kan Hansken gjøre at flere vanlige etterforskere kan bruke dataene og finne fram selv. Det er bra for rettssikkerheten i de sakene som ikke når opp eller må stå i kø hos spesialetterforskere med begrenset kapasitet, legger Froyn til.

I likhet med annen analyseprogramvare, trenger Hansken kraftige datamaskiner. Det er kostbart. 

– Dette gjør jo at det kreves en investering fra politiets side, dersom man ønsker Hansken. Man må både ha maskinvare, driftsstøtte, et felles beslagsnett der digitale beslag lagres – og kraftig maskinvare. Det kreves investeringer i datakraft og lagring sentralt hos Politiets IKT-tjenester, med gode nettforbindelser til og mellom politidistriktene, sier Walstrøm.

Programvaren og kraftig maskinvare gjør at Hansken klarer å prosessere data raskt. Selv om Kripos bare har testet en liten versjon av Hansken, ser de at programvaren jobber fort. Det er tre kraftige servere som har kjørt programvaren hos Kripos.

– Tradisjonelt har det vært sånn at du kan sette på en speilfil for prosessering på en egen analyse-PC ute i distriktet før du går hjem fra jobb, og når du kommer tilbake neste morgen står den fortsatt og analyserer dataene. Under testperioden på én uke klarte vi å prosessere og analysere rundt 100 beslag. Det er fort, sier Froyn.

– I tillegg er det sånn at vi i dag har flere dataprogrammer og -verktøy som er gode på hver sine ting. Et program er for eksempel godt til analyse av bilder, et annet på chat og et tredje på dokumenter. Hansken samler dette, i stedet for at du må kjøre tidkrevende prosessering av dataene flere ganger, i hvert enkelt av de eksisterende programmene, påpeker Walstrøm.

Slik markedsfører NFI «Hansken» (saken fortsetter under videoen):

Skiller seg fra annen type programvare

Mens private, kommersielle leverandører vanligvis er leverandør av større datasystemer, skiller Hansken seg fra konkurrentene ved at programmet er laget av Netherlands Forensic Institute. NFI er et statlig og uavhengig kriminalteknisk institutt, men jobber naturligvis tett med politiet. Målet er først og fremst å bekjempe kriminalitet, noe som igjen kan gjøre at det er færre etiske betenkeligheter ved å innføre Hansken framfor annen programvare.

Hansken har tidligere blitt nevnt som en programvare som kan utføre oppgaver på samme måte som big-data-programmer som Palantir, som brer om seg i norsk politi og Tollvesenet i disse dager. På noen områder stemmer det, men mens Palantir er en programvare som er spesialisert på å gjøre søk i en rekke databaser og registre på én gang, er Hansken et mer rendyrket kriminalteknisk verktøy. Det er laget for å prosessere og gjøre digitale spor søkbare.

Kripos-ekspertene løfter fram at Hansken har et fortrinn i at det er en langt mer åpen programvare, og har et såkalt API, en egen plattform som gjør at politiets programmerere kan videreutvikle ny funksjonalitet på toppen av dagens funksjonalitet. 

– Programvaren er laget slik at man kan koble seg opp mot programmet utenfra. Du kan for eksempel lage en applikasjon som ser ut som Microsoft Outlook for å søke i e-poster, og som søker gjennom Hansken. Man kan lage nye verktøy som er enkle og gjenkjennbare for politifolk, som kjører på Hansken, forklarer Froyn.

Det betyr at også annen programvare, som Palantir og Mercure, kan kobles opp mot og hente informasjon fra Hansken. Froyn er ikke i tvil om hva en anskaffelse av Hansken ville bidratt til.

– For politiet vil dette kunne bidra til at etterforskere i hele landet vil kunne behandle digitale spor i vesentlig større utstrekning enn i dag.

Få personer utvikler programvaren

Nylig ble Hansken prøvd i retten for første gang i Nederland. Etter å ha prosessert 3,6 millioner krypterte meldinger fra et serverne til et teleselskap i Canada, stilte forsvarsadvokatene en rekke spørsmål i retten om bruken av Hansken. Programvaren bestod testen.

– Hvilke ulemper ser dere med Hansken?

– Nettlesergrensesnittet er enkelt. Det er bra for den jevne brukeren, men for den som er god teknisk, kan man grave seg enda dypere ned i bevisene i andre programvarer. Det betyr at Hansken bør komme i tillegg til disse og at vi fortsatt trenger annen programvare i tillegg. For mange etterforskere vil mer avanserte dataverktøy komme i tillegg, spesielt for spesialistene på databeslag ute i distriktet, sier Walstrøm.

– Og det støtter ikke alltid alle filtyper heller. Når man skal gjøre et stort innkjøp vil man trenge en driftsavdeling som tar seg av drifta. I store selskaper jobber det flere tusen mennesker, mens det i NFI i Nederland er et team på 8-10 personer som lager programvaren. Det betyr at de trolig har en liste som er lang på forbedringer, dersom man har ønske om endringer i Hansken, nyanserer Froyn.

Ettersom norsk politi er først ut i verden med å få bruke Hansken, kan det kanskje være håp om å få spille en større rolle enn brukerrollen.

– Hadde norsk politi kunnet bidra i utviklingen av Hansken, kunne det blitt enda mer interessant, mener Froyn.

Til toppen