IT forensics brengt het werkelijke verhaal op tafel

25 november 2015 Consultancy.nl

In dit digitale tijdperk wordt bijna alle informatie in bits en bytes opgeslagen. Het is daarom vaak noodzakelijk om bij onderzoeken naar bijvoorbeeld geschillen of fraude, experts met kennis van forensische technologie te betrekken.

Voor het veiligstellen, ontsluiten en leesbaar maken van e-mail en andere digitaal opgeslagen documenten zijn steeds meer relatief eenvoudige hulpmiddelen beschikbaar. Het misverstand kan ontstaan dat daarmee forensisch onderzoek wordt gedaan. Die ene gevonden e-mail die als ‘smoking gun’ wordt aangemerkt, heeft echter geen of slechts beperkte bewijswaarde als niet vaststaat op welke machine en door wie het document oorspronkelijk is gemaakt en welke weg het door het internet heeft afgelegd.

Bits en Bytes

De forensisch IT-expert gaat verder dan slechts het ontsluiten van digitale documenten. Hij kijkt met een andere bril naar de geautomatiseerde omgeving. Geautomatiseerde systemen bieden veel meer dan slechts de opslag van (uitgewisselde) gegevens en juist de toestand en karakteristieken van de aanwezige gegevens leveren informatie op over de waarheid. Zo kan de aanwezigheid van bepaalde gegevens op een gegevensdrager op het eerste gezicht buitengewoon logisch lijken en lijkt een bepaald e-mailbericht duidelijk herleidbaar naar een specifieke persoon. Maar stel dat de context en de digitale gegevens elkaar volstrekt tegenspreken? In een voor deze situatie exemplarische casus werd ons recent om bijstand gevraagd.

Seksuele intimidatie
Een medewerkster wordt ervan beschuldigd dat zij vlak voor een beoordelingsgesprek een dreigmail naar haar leidinggevende heeft gestuurd. Zij ontkent de e-mail verstuurd te hebben. In de ‘deleted’ items van haar account staat de e-mail er toch echt en een ontslag op staande voet dreigt. Vanwege haar heftige ontkenning en een verhaal over seksuele intimidatie door de leidinggevende wil de werkgever meer zekerheid.

De IT-experts van Grant Thornton nemen niets voor waar aan. Het gebruik van het e-mailaccount wordt aan de hand van loggegevens uit verschillende systemen gereconstrueerd. Het blijkt dat de gewraakte e-mail via het account van de medewerkster is verstuurd, maar vanaf een ander IP-adres dan eerder door haar is gebruikt en vanaf een ander apparaat dan de apparaten waarvan bekend is dat zij die gebruikt. Het IP-adres doet vermoeden dat de leidinggevende de e-mail zelf vanuit zijn eigen huis aan zichzelf heeft verstuurd. In een gesprek met hem zwicht hij voor de onweerlegbare feiten uit de verschillende loggegevens. Angst voor het uitkomen van seksuele intimidatie jegens de medewerkster doet hem besluiten zich met de dreigmail als slachtoffer te presenteren.

Grant Thornton Emails

Het werkelijke verhaal op tafel
Forensische IT gaat verder dan het leesbaar maken van nullen en enen (binaire getallen), het gaat om het begrijpelijk maken van de digitale gegevens en het op tafel krijgen van het werkelijke verhaal. Zoals deze casus laat zien, kan dat ook disculperend zijn. Dit voorbeeld geeft aan dat het zichtbaar maken van de inhoud zonder begrip van de context van de digitale omgeving iets onderdeel van het bedrog kan maken. Juist als een betrokkene er baat bij heeft de waarheid anders voor te stellen, kan met de inhoud alleen niet worden volstaan.

Natuurlijk is het niet altijd nodig om ‘zware’ experts in te zetten, maar het kan geen kwaad deze te consulteren om te bepalen wat hun toegevoegde waarde kan zijn.

Een artikel van Mark Hoekstra, Partner en Global Leader Forensic Technology bij Grant Thornton.


×
×
Accenture ACE Company Adaptif Adlasz Adviesgroep Novius AevesBenefit Anderson MacGyver Andersson Elffers Felix Annalise Arlande Arthur D. Little AT Osborne Atos Consulting Bain & Company Baker Tilly BDO BearingPoint Berenschot Best Value Group Bewegin Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Management BOLD Bolster Bostec Boston Consulting Group Bright & Company | People Strategy Buitenhuis Advies buro C5 Bvolve Capgemini Invent Cegeka Consulting Cmotions COMATCH Conclusion Count & Cooper CPMview De Issuemakers De Kleine Consultant Deloitte Delta Capita Digital Power Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting Eurekon EY EY-Parthenon Finext First Consulting Flowant flowresulting Fronteer FTE Groep FTE Improvery Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hogenhouck m&a Hospitality Group Hot ITem House of Performance IG&H Improven innergo INNOPAY Intermedius ITDS Business Consultants Itility JBR JBR Interim Executives Kearney Kirkman Company Korn Ferry KplusV KPMG Kruger Kurtosis KWINK groep Leeuwendaal M3 Consultancy Magnus Marktlink Mazars McKinsey & Company Mercer Merkle METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group NEWCRAFT Ngenious Node1 Oliver Wyman OrangeX Ordina Organize Agile p2 PA Consulting Group Paul Postma Marketing Consultancy People Change PNO Consultants Projective Protiviti Proven Partners Prowareness PwC Quint Quintop Raad van Toekomst RedFoxBlue ResidentieProfs RGP Rijnconsult Riverwise Roland Berger Salvéos Schaekel & Partners SeederDeBoer Sia Partners Significant Groep Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Staffing MS Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron The Next Organization TIC Advisory Trevian Turner TWST TwynstraGudde UMS Group UniPartners UPD Van Oers Corporate Finance Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Volt Strategy Voogt Pijl & Partners WIN Xebia Yellowtail YGroup YNNO Young Advisory Group YourConnector Zanders Zestgroup