Digitaal forensisch onderzoek; hoe bereid ik me als CISO voor?

Dagelijks laten we veel digitale sporen na, denk aan het versturen van een e-mail, het bezoeken van een website en het binnengaan van je kantoor met een pasje. Het kan voorkomen dat na een informatiebeveiligingsincident deze digitale sporen onderzocht moeten worden. Dit gebeurt middels een digitaal forensisch onderzoek. Maar wat houdt zo’n onderzoek eigenlijk in? En wat kun je doen om het proces zo goed mogelijk te laten verlopen?

Wat is digitaal forensisch onderzoek?

Digitaal forensisch onderzoek, ofwel digitaal sporenonderzoek, is het verzamelen en analyseren van gegevens uit digitale systemen (hard- en software) bijvoorbeeld naar aanleiding van (een vermoeden van) een informatiebeveiligingsincident, zoals fraude, bedrijfsspionage, phishing of hacking. Indien je als gemeente slachtoffer bent van een dergelijk incident is het belangrijk om vast te stellen wat er precies is gebeurd en wat de aanleiding is geweest. Indien er een kans is dat iemand toegang heeft verkregen tot persoonsgegevens, is onderzoek zelfs wettelijk verplicht vanuit de meldplicht datalekken. Als CISO heb je hier een belangrijke rol in. Wanneer digitaal forensisch onderzoek nodig is, is het dus belangrijk dat je als CISO weet welke stappen genomen moeten worden om bewijsmateriaal veilig te stellen. Je hebt namelijk maar één kans om dit goed te doen. Doe je dit verkeerd, dan kan het zijn dat het bewijsmateriaal niet meer zuiver is waardoor het bijvoorbeeld niet meer mogelijk is om mensen te vervolgen voor bepaalde acties. Daarom geef ik je in deze blog graag meer informatie en een aantal handvatten zodat je goed beslagen ten ijs komt.

Soorten forensisch onderzoek

Er zijn verschillende soorten forensisch onderzoek, zorg daarom dat je de verschillen en overeenkomsten hiervan begrijpt:

  • Persoonsgericht integriteitsonderzoek: dit onderzoek vindt plaats na overtreding van de integriteitsregels, het gemeentelijk beleid en andere gemeentelijke gedragsregels.
  • Strafrechtelijk onderzoek: dit onderzoek vindt plaats na overtreding van de wet en wordt uitgevoerd door de Politie. Hierbij is het noodzakelijk dat de CISO, als verantwoordelijke voor het afhandelen van het incident intern, bepaalde regels vanaf het allereerste begin opvolgt, zoals het zeker stellen van digitaal bewijsmateriaal.
  • Malware onderzoek: bij dit onderzoek wordt het ‘gedrag’ van malware onderzocht na een incident. Malware onderzoek kan interessant zijn indien er schade is ontstaan door mogelijk incorrect handelen van medewerkers. Dit type onderzoek vergt echter specialistische kennis en gereedschappen. Mocht je als gemeente dit onderzoek moeten uitvoeren, dan kan de Informatiebeveiligingsdienst voor Nederlandse Gemeenten (IBD) je ondersteunen met advies.
  • Incident onderzoek: Om incidenten te kunnen onderzoeken is een vorm van digitaal (forensisch) onderzoek nodig. Omdat elk incident een potentieel onderzoek zou kunnen worden, is het belangrijk dat er een systematische en objectieve methode gebruik wordt. Denk hierbij aan het onderzoeken van bijvoorbeeld systemen, diverse logbestanden en computergeheugens. Bij dit type onderzoek verzamel je digitaal forensisch bewijsmateriaal dat later gebruikt kan worden bij een aangifte.
  • Digitale recherche: denk hierbij aan digitaal onderzoek van bijvoorbeeld een apparaat, harddisk of telefoon, in het kader van een mogelijk strafrechtelijk onderzoek. Schakel bij dit type onderzoek altijd specialistische hulp in.

Digitaal forensisch beleid

Dit gezegd hebbende, is de eerst stap als gemeente: het opstellen van een digitaal forensisch beleid. Hierin leg je duidelijke regels vast die in relatie staan tot digitaal forensisch onderzoek. Op deze manier voorkom je dat de procedure, in alle hectiek rondom een onderzoek, verkeerd wordt uitgevoerd. Als er iets verkeerd gaat loop je namelijk het risico dat er digitaal bewijsmateriaal verloren gaat. Bovendien geeft het beleid de gemeente de mogelijkheid om de procedure jaarlijks te toetsen. Het beleid dient in ieder geval de volgende punten te bevatten:

  • Wanneer wordt er een forensisch onderzoek gestart?
  • Door wie wordt het forensisch onderzoek uitgevoerd?
  • Welke afspraken zijn wellicht er met externe gespecialiseerde bedrijven? (deze zou je evt. van te voren al kunnen maken voordat er sprake is van een incident)

Het digitaal forensisch proces voor gemeenten

Nadat het digitaal forensisch beleid is opgesteld en vastgesteld, is de volgende stap het doorlopen van het forensisch proces, bestaande uit de volgende stappen:

  1. Voorbereiding
    Voordat je een onderzoek start moet je een aantal vragen beantwoorden: Wie is de incidentmanager en gaan we het zelf onderzoeken? Wat is er precies gebeurd? Moet het onderzoek nu gedaan worden of kan het ook morgen, ofwel wat is de prioriteit? Waar moet er een incident worden onderzocht? Is het een open of gesloten onderzoek? En hoeveel werk wordt er geschat? Zorg dat je vanaf dit moment begint met het documenteren van alle acties.

  2. Verzamelen bewijsmateriaal
    Een van de belangrijke stappen is het verzamelen en veiligstellen van het bewijsmateriaal. Omdat hierbij vaak geen tweede kans is, is het belangrijk om de onderstaande stappen uit te voeren:
    • Stel alle elektronische apparaten veilig, ook persoonlijke (privé) apparaten.
    • Zorg dat de status van elektronische apparaten behouden blijft. Als het apparaat uit staat, laat het dan uit. Staat het apparaat aan, laat het dan aan!
    • Stuur iedereen weg uit het gebied waar het bewijs wordt verzameld.
    • Weiger alle hulp van onbevoegden en voorkom dat onbevoegden toegang krijgen tot het elektronisch apparaat.
    • Voorkom dat de gebruiker gegevens van een (mobiel) apparaat op afstand kan wissen of manipuleren, door de apparaten te compartimenteren.
    • Maak een ‘image’ van de digitale data. Een image bevat gehashte waarmerken, waardoor je zeker bent dat de data gelijk is aan het origineel.
    • Onderzoek de werkplek van de betrokkenen om datadragers en wachtwoorden te achterhalen.

  3. Verzamelen en veiligstellen van digitaal sporen materiaal
    Hierbij is het belangrijk om te beseffen dat niet altijd alles kan en mag, vanwege de wet of beperkingen van bepaalde processen, zoals logging. Maak daarom aantekeningen, label informatie, maak indien nodig overzichtsschetsen of foto’s en zorg eventueel voor verpakking en transport van het verzamelde materiaal.

  4. Onderzoeken
    Het is zaak dat het oorspronkelijke materiaal niet wordt veranderd en de integriteit behouden blijft. Alles wat met het bewijsmateriaal wordt gedaan, moet worden vastgelegd. Op deze manier weet je achteraf altijd welke personen op enig moment gedurende het onderzoekstraject in aanraking zijn geweest met bewijsmateriaal (Chain of Custody). Indien materiaal geanalyseerd moet worden, gebeurt dit vanaf een kopie en nooit vanaf het origineel. Middels het gebruik van hashes kun je aantonen dat het oorspronkelijke materiaal niet veranderd is.

  5. Privacy en privé data
    Naast zakelijke data, kunnen apparaten ook persoonlijke data bevatten. Deze persoonlijke data heeft vaak geen betrekking op het incident of onderzoek en mag daarom ook niet betrokken worden in het onderzoek in het kader van de Algemene Verordening Gegevensbescherming (AVG). Indien er sprake is van een vermoeden van een integriteitsschending, is in sommige gevallen (privé) dataonderzoek toegestaan:
    • Wanneer er sprake is van computervredebreuk, zoals het benaderen van data in de cloud (138a Sr.)
    • Wanneer er sprake is van zaakbeschadiging, zoals het bewust manipuleren van computergegevens (350a Sr.)
    • Of bij een vermoeden dat er bijvoorbeeld via privé e-mail data is ‘gelekt’.

  6. Toepassing van hoor- en wederhoor
    Tijdens het onderzoek wordt er informatie verzameld en geanalyseerd, waaruit voorlopige conclusies getrokken kunnen worden. Bij een organisatiegericht onderzoek dient de verdachte altijd de gelegenheid te krijgen om op deze bevindingen te reageren. Dit verkleint de kans op foutieve conclusies.

  7. Rapportage
    Niet geheel onbelangrijk, is het correct documenteren van het gehele onderzoek. Bij een forensisch onderzoek is een afrondend rapport een vereiste! Het rapport moet duidelijk beschrijven hoe bewijsstukken zijn verkregen en hoe er mee is omgegaan. Bedenk voor wie het rapport bestemd is, welk doel het rapport heeft en welke boodschap het rapport moet afgeven. Geef feiten chronologisch weer en vermeld duidelijk hoe zaken geconstateerd zijn.

  8. Afronding
    Last but not least, is het goed om naderhand het onderzoek te evalueren: wat ging er goed/fout? Op die manier kun je het proces aanscherpen.

Zoals je kunt lezen in deze blog, komt er veel bij een forensisch onderzoek kijken. Het is verstandig om op het moment dat er zich een incident voordoet de IBD in te schakelen, bijvoorbeeld bij Malware onderzoek of een hackaanval op je gemeente, of in andere gevallen een externe partij in te huren. Zij kunnen je in zo’n geval bijstaan door ondersteuning, advies of beantwoording van vragen, indien kennis omtrent specifieke onderwerpen ontbreekt. Ik hoop je middels deze blog een inzicht te hebben geven in wat een digitaal forensisch onderzoek inhoudt en met welke bijkomende procedures en beleid je als gemeente rekening moet houden. Heb je na aanleiding van deze blog aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.

Vorm & Analysevolgorde binnen SIVA
Van BIG naar BIO met een GAP-analyse

Copyright © 2014-2019 IB&P B.V. - Informatiebeveiliging Gemeenten is een handelsnaam van IB&P B.V. 
Onze algemene voorwaarden & privacyverklaring.Ook handig: de sitemap