Ik heb een vraag! neem contact op
U kunt digitaal forensisch onderzoek inzetten bij uiteenlopende kwesties, zoals:
Digitaal forensisch onderzoek is een onderdeel van de forensische wetenschap. Hierbij doorlopen we een proces om digitale bronnen, zoals fysieke gegevensdragers en cloudopslagdiensten, te identificeren, te preserveren en te verkrijgen. Daaruit extraheren en analyseren we de relevante data om zo uiteindelijk te rapporteren over de feitelijke bevindingen. Tijdens dit proces volgen we ethische codes, professionele gedragsnormen en best practices, zodat het digitaal bewijsmateriaal forensisch verantwoord en juridisch verdedigbaar is.
Begin jaren '90 kwam de eerste mobiele telefoon op de markt en hadden steeds meer huishoudens digitale apparaten in bezit. Op dat moment groeide digitaal forensisch onderzoek razendsnel. Tot de subdisciplines behoren onder andere: forensisch onderzoek naar computers, smartphones en e-mail tot meer recente technologische ontwikkelingen zoals blockchain, waarbij cryptovaluta en NFT’s (non-fungible tokens) opgespoord worden via openbare grootboeken.
De vooruitgang van technologie én de groei in digitalisering zorgt ervoor dat digitaal forensisch onderzoek niet meer weg te denken is en de komende jaren zal blijven ontwikkelen.
Voordat we het onderzoek starten, stellen we de aanleiding en het doel vast. Zo bepalen we de reikwijdte en haalbaarheid. Daartoe identificeren we alle relevante digitale bronnen. De primaire informatie wordt verzameld via interviews met de belangrijkste belanghebbenden om zo na te gaan waar de digitale bronnen zich bevinden en hoe we ze kunnen raadplegen.
De nodige informatie wisselen we uit met de direct betrokkenen, vaak ook het IT-personeel. Zij beschikken over de relevante digitale bronnen, zowel fysieke gegevensdragers als cloudopslagdiensten. Op basis van die informatie bepalen onze forensische onderzoekers de vereiste methoden, technieken, apparatuur en software als voorbereiding op de vervolgactiviteiten.
De implementatie van een litigation/forensic readiness plan bereidt organisaties voor om snel en effectief te reageren op een incident waarbij elektronische of papieren gegevens betrokken zijn. Zo wordt voorkomen dat kostbare tijd verloren gaat aan het identificeren en verwerken van die gegevens, waardoor de risico’s van een incident worden beperkt.
Zodra we hebben vastgesteld welke digitale bronnen relevant zijn om te verkrijgen, moeten we deze preserveren om wijziging of verwijdering van gegevens te voorkomen voordat de datacollectie plaatsvindt. Zo plaatsen we bijvoorbeeld een litigation/legal hold op mailboxen om te voorkomen dat iets of iemand relevante mails of back-ups verwijdert, zoals een geautomatiseerd bewaarbeleid.
Preservatie houdt ook in dat we digitale bronnen als bewijs in beslag kunnen nemen, zoals bij een vermoeden van opzettelijke vernietiging of verduistering van gegevens zodra een tegenpartij op de hoogte is van mogelijke juridische procedures.
The Sedona Conference, een zeer bekende en gerespecteerde bron voor electronic discovery, benoemt in haar publicatie "Commentary on Legal Holds" dat één van de factoren bij het bepalen van de omvang van te preserveren informatie, de relatieve kosten en lasten van inspanningen tot preservering zijn.
We verwerken het bewijsmateriaal van begin tot eind op een forensisch verantwoorde wijze, zodat de feitelijke bevindingen van ons onderzoek juridisch toelaatbaar en verdedigbaar zijn. Dat begint met het verkrijgen van data met gespecialiseerde software en apparatuur om er zo voor te zorgen dat we de gegevens op een opslagmedium alleen lezen wanneer we een forensische kopie maken, en dat niemand hier naartoe kan schrijven. Dit maakt een bit-by-bit copy mogelijk en voorkomt dat we de oorspronkelijke bron van bewijsmateriaal aantasten of wijzigen.
We waarborgen de integriteit van kopieën met forensische protocollen, zoals het gebruik van cryptografische hashfuncties. Bij iedere verwerking van digitaal bewijsmateriaal documenteren we alle handelingen nauwkeurig en houden zo een geldige chain of custody en chain of evidence in stand. Om verlies of (elektrostatische) beschadiging van fysieke gegevensdragers te voorkomen, verpakken we elk opslagmedium veilig, verzegelen deze en labelen we deze individueel, zowel tijdens het vervoer als de opslag. We beveiligen de kopieën van digitaal bewijsmateriaal via sterke encryptie en slaan deze veilig op.
De betrokken partijen moeten soms op grond van contractuele verplichtingen gedwongen aan het onderzoek meewerken. Op basis van gedeelde feitelijke informatie tijdens hoor en wederhoor kan de omvang van digitale bronnen die relevante data bevatten wijzigen. Hierdoor neemt het volume van de te verkrijgen data toe of af.
Afhankelijk van het soort onderzoek en het betrokken digitale bewijsmateriaal gebruiken we verschillende methoden, technieken en software om een grondige analyse uit te voeren. Alleen ervaren forensische onderzoekers in een beveiligde en geïsoleerde omgeving mogen digitaal bewijsmateriaal verwerken en gebruiken voor analyse. Het doel van de analyse is om gestructureerde en ongestructureerde data te identificeren die verband houden met het onderzoek en deze data vervolgens om te zetten in bruikbare en relevante informatie.
Naast de conventionele analyse (eDiscovery) van de toegewezen ruimte op een opslagmedium waarbij we vooral kijken naar de inhoud van documenten en communicatie gegenereerd door gebruikers, halen wij ook fragmenten van verborgen (meta)data, meestal volledige bestanden, terug die eerder zijn verwijderd. Dit doen we via een file carving proces dat overgebleven bits en bytes samenvoegt. Tijdens de analyse kunnen bevindingen leiden tot de identificatie van andere digitale bronnen die relevante data bevatten. Hierdoor herhalen we soms eerdere fasen.
Onderzoekers moeten analyses verrichten met inachtneming van de beginselen van proportionaliteit en subsidiariteit. Dit betekent in de context van een forensisch onderzoek dat we onnodige inbreuk op de privacy op alle mogelijke manieren vermijden en dat we de minst ingrijpende middelen gebruiken om het doel van ons onderzoek te bereiken, binnen de vooraf overeengekomen kaders.
Is het onderzoek afgerond, dan formuleren we alle conclusies op basis van feitelijke bevindingen adequaat en rapporteren we dit als juridisch toelaatbaar bewijs. Hoe we de resultaten van het onderzoek rapporteren, verschilt per type onderzoek en is afhankelijk van de gebruiker(s) van het rapport. Omdat digitaal forensisch onderzoek veel technische aspecten heeft, hebben wij de voorkeur om in de non-technische rapportage zoveel mogelijk lekentermen (jip-en-janneketaal) te gebruiken. Zo is het voor alle partijen duidelijk.
Het is essentieel dat het onderzoek en de feitelijke bevindingen hiervan juridisch verdedigbaar zijn. We beschouwen reproduceerbaarheid in dat opzicht als een belangrijke factor. Daarvoor documenteren en rapporteren we de handelingen in elke fase van een digitaal forensisch onderzoek, inclusief de gebruikte methoden, technieken en tools, nauwkeurig en gedetailleerd.
Het netwerk van Grant Thornton geeft ons wereldwijd toegang tot materiedeskundigen waardoor wij onze onderzoeken met succes uitvoeren, ongeacht (on)verwachte wendingen, zoals technische uitdagingen als het omzeilen van versleuteling en encryptie, of complexe analyses van financiële data en transacties waarbij wij vertrouwen op onze forensische accountants.
Heeft u nu een kwestie lopen, of in het vooruitzicht, waarbij u digitaal forensisch onderzoek in wilt zetten? Neem dan contact met ons op voor een vrijblijvend gesprek. Wij gaan tot het uiterste om u bij te staan en uw verwachtingen te overtreffen. We horen graag van u!