IT forensics brengt het werkelijke verhaal op tafel

25 november 2015 Consultancy.nl

In dit digitale tijdperk wordt bijna alle informatie in bits en bytes opgeslagen. Het is daarom vaak noodzakelijk om bij onderzoeken naar bijvoorbeeld geschillen of fraude, experts met kennis van forensische technologie te betrekken.

Voor het veiligstellen, ontsluiten en leesbaar maken van e-mail en andere digitaal opgeslagen documenten zijn steeds meer relatief eenvoudige hulpmiddelen beschikbaar. Het misverstand kan ontstaan dat daarmee forensisch onderzoek wordt gedaan. Die ene gevonden e-mail die als ‘smoking gun’ wordt aangemerkt, heeft echter geen of slechts beperkte bewijswaarde als niet vaststaat op welke machine en door wie het document oorspronkelijk is gemaakt en welke weg het door het internet heeft afgelegd.

Bits en Bytes

De forensisch IT-expert gaat verder dan slechts het ontsluiten van digitale documenten. Hij kijkt met een andere bril naar de geautomatiseerde omgeving. Geautomatiseerde systemen bieden veel meer dan slechts de opslag van (uitgewisselde) gegevens en juist de toestand en karakteristieken van de aanwezige gegevens leveren informatie op over de waarheid. Zo kan de aanwezigheid van bepaalde gegevens op een gegevensdrager op het eerste gezicht buitengewoon logisch lijken en lijkt een bepaald e-mailbericht duidelijk herleidbaar naar een specifieke persoon. Maar stel dat de context en de digitale gegevens elkaar volstrekt tegenspreken? In een voor deze situatie exemplarische casus werd ons recent om bijstand gevraagd.

Seksuele intimidatie
Een medewerkster wordt ervan beschuldigd dat zij vlak voor een beoordelingsgesprek een dreigmail naar haar leidinggevende heeft gestuurd. Zij ontkent de e-mail verstuurd te hebben. In de ‘deleted’ items van haar account staat de e-mail er toch echt en een ontslag op staande voet dreigt. Vanwege haar heftige ontkenning en een verhaal over seksuele intimidatie door de leidinggevende wil de werkgever meer zekerheid.

De IT-experts van Grant Thornton nemen niets voor waar aan. Het gebruik van het e-mailaccount wordt aan de hand van loggegevens uit verschillende systemen gereconstrueerd. Het blijkt dat de gewraakte e-mail via het account van de medewerkster is verstuurd, maar vanaf een ander IP-adres dan eerder door haar is gebruikt en vanaf een ander apparaat dan de apparaten waarvan bekend is dat zij die gebruikt. Het IP-adres doet vermoeden dat de leidinggevende de e-mail zelf vanuit zijn eigen huis aan zichzelf heeft verstuurd. In een gesprek met hem zwicht hij voor de onweerlegbare feiten uit de verschillende loggegevens. Angst voor het uitkomen van seksuele intimidatie jegens de medewerkster doet hem besluiten zich met de dreigmail als slachtoffer te presenteren.

Grant Thornton Emails

Het werkelijke verhaal op tafel
Forensische IT gaat verder dan het leesbaar maken van nullen en enen (binaire getallen), het gaat om het begrijpelijk maken van de digitale gegevens en het op tafel krijgen van het werkelijke verhaal. Zoals deze casus laat zien, kan dat ook disculperend zijn. Dit voorbeeld geeft aan dat het zichtbaar maken van de inhoud zonder begrip van de context van de digitale omgeving iets onderdeel van het bedrog kan maken. Juist als een betrokkene er baat bij heeft de waarheid anders voor te stellen, kan met de inhoud alleen niet worden volstaan.

Natuurlijk is het niet altijd nodig om ‘zware’ experts in te zetten, maar het kan geen kwaad deze te consulteren om te bepalen wat hun toegevoegde waarde kan zijn.

Een artikel van Mark Hoekstra, Partner en Global Leader Forensic Technology bij Grant Thornton.

Nieuws