Cybercriminelen worden steeds slimmer. Voor het forensisch onderzoek wordt een zorgvuldige omgang met digitale sporen daarom belangrijker dan ooit, vertelt cybercrimespecialist Gina Doekhie.
Lynsey Dubbeld
Negentig procent van de cyberaanvallen zijn succesvol, omdat mensen niet zorgvuldig handelen: we denken dat een incident ons niet zal overkomen, of dat we toch niets te verbergen hebben. Dat signaleerde Gina Doekhie vorig jaar in een TEDx Talk in Amsterdam.
Open cultuur
“We zijn ons niet altijd bewust van de risico’s die we lopen. Daarnaast is er soms onvoldoende kennis over adequate preventie”, vertelt Doekhie, sinds september 2019 cybercrimespecialist bij de Regionale Recherche van de politie-eenheid Den Haag. “Binnen bedrijven zijn daarom heldere protocollen nodig. Medewerkers moeten bijvoorbeeld weten wat ze moeten doen met verdachte e-mails, hoe ze gebruik maken van twee-factor authenticatie, en hoe ze zorgvuldig omgaan met het downloaden van attachments. Als je denkt dat je een phishing-mail hebt ontvangen, aan wie stuur je het bericht dan door? Vraag je advies van een afdeling met specialisten die kunnen nagaan wat er aan de hand is, of stuur je het bericht door aan je directe collega’s en leidinggevende – met het risico dat ook zij op een verdachte link klikken?”
>> LEES OOK: Blogs van Petra Oldengarm, directeur Cyberveilig Nederland
Een open cultuur is essentieel om dergelijk beleid tot een succes te maken, benadrukt Doekhie. “Mensen zijn soms bang om te melden dat ze mogelijk op een phishing-link hebben geklikt. We moeten af van het idee dat je domme fouten kunt maken, of dat je je moet schamen als er iets misgaat. Cybercriminelen zijn steeds slimmer en het is daarom helemaal niet raar dat je in hun trucs trapt. Het is juist erg als een risico of fout niet gemeld wordt, want dan kunnen problemen zoals datalekken en malware zonder dat we het weten voortduren – en vermindert uiteindelijk ook de kans dat we de daders opsporen.”
Oog voor digitale sporen
Doekhie, die eerder onder meer werkte als digitaal forensisch onderzoeker bij Fox-IT, benadrukt het belang van een zorgvuldige omgang met digitale sporen in de strijd tegen cybercrime. Drie thema’s vragen hierbij speciale aandacht: het veiligstellen van sporen, het uitvoeren van onderzoek en het presenteren van de onderzoeksresultaten.
“Na een incident is het allerbelangrijkste om de digitale sporen veilig te stellen, zodat er later onderzoek naar de oorzaken kan worden gedaan en de daders kunnen worden opgespoord”, licht Doekhie toe. “Binnen organisaties – en trouwens ook bij burgers – is niet altijd het bewustzijn aanwezig dat digitale sporen verloren kunnen gaan. Bijvoorbeeld omdat logbestanden na een bepaalde periode automatisch worden overschreven.”
>> LEES OOK: Thuiswerken? Zo communiceer je veilig digitaal met elkaar
Voor de opsporing is het ook belangrijk dat het digitale bewijs klopt: de rechter moet er zeker van zijn dat de digitale sporen integer zijn. “Daarom moeten we goed vastleggen wat er bij het veiligstellen van sporen precies gebeurt. Als we bijvoorbeeld een laptop in beslag nemen, dan stellen we de sporen veilig door data te kopiëren en vervolgens op de kopieën onderzoek te doen. Dat proces leggen we ook nauwkeurig vast, bijvoorbeeld via het documenteren van de hash-waarden en chain of custody.”
Herstel versus opsporing
Het veiligstellen van digitale sporen is niet simpelweg een opgave van de politie, benadrukt Doekhie. “Forensische onderzoeksbureaus, particuliere recherchebureaus, incident response teams en andere private partijen kunnen een sleutelrol vervullen, omdat zij vaak als eerste ter plekke zijn na een cyberincident. Voor de getroffen organisatie is herstel van de operationele processen vaak de eerste prioriteit. Dan kan het lastig zijn om eerst te focussen op het veiligstellen van de digitale sporen voor het opsporingsonderzoek. Maar voor de lange termijn is dat ook voor de organisatie heel belangrijk, want je wilt wel weten hoe het incident is veroorzaakt en mogelijk door wie.”
Het is heel belangrijk dat de digitale sporen worden veiliggesteld
Doekhie pleit voor meer expertise en awareness over digitale opsporing bij securityspecialisten. “Of het nu gaat om de particuliere rechercheurs die door een onderneming worden ingeschakeld, of de incident response teams die binnen een groot bedrijf actief zijn: het is zo belangrijk dat de digitale sporen worden veiliggesteld. Bij een moord vinden we het heel vanzelfsprekend dat de crime scene wordt afgezet en alles even wordt stopgezet voor forensisch onderzoek. Ook bij een inbraak begrijpen we dat de politie eerst onderzoek gaat doen voordat je de schade gaat opruimen. Bij cybercrime zijn we ons daar nog niet altijd zo van bewust.” Daardoor bestaat ook het risico dat een probleem verergert, bijvoorbeeld doordat er na een incident back-ups worden teruggezet naar gehackte systemen.
Interpretatie van digitale sporen
Naast het veiligstellen van digitale sporen en het uitvoeren van forensisch onderzoek – en het vastleggen van de manieren waarop deze acties zijn uitgevoerd – is voor de opsporing ook de presentatie van de onderzoeksresultaten in rechtszaken van groot belang. Doekhie: “Het gaat dan om de interpretatie van de digitale bewijsvoering: wat betekenen de sporen en hoe kunnen de sporen worden gerelateerd aan de verdachte? Natuurlijk geeft de rechtbank het oordeel over de schuldvraag, maar rechters leunen wel op de expertise van de politie.
LEES OOK: E-Discovery: trends en toekomst van digitale opsporing
Stel dat iemand wordt verdacht van het bezit van kinderporno. Op de laptop kunnen we zien dat er kinderporno is gedownload. De verdachte kan hier misschien tegenin brengen dat malware hiervan de oorzaak is. Maar de afwezigheid van downloads en cachebestanden op de computer is hiervoor geen overtuigend bewijs. We kunnen een tijdlijn reconstrueren met digitale sporen van de gebruiker van de laptop en daarin correlaties vinden met sporen van kinderporno. Daarmee kunnen we scenario’s onderzoeken die aannemelijk maken of de verdachte zelf de kinderporno heeft gedownload, of dat malware de bestanden op de computer heeft geplaatst.”
Een brand op het hoofdkantoor van een onderneming is verwoestend, maar een cyberaanval kan alle vestigingen over de hele wereld platleggen
De politie stelt in cyberzaken, net als bij traditionele misdrijven, verschillende scenario’s op over wat er kan zijn gebeurd. Vervolgens worden voor alle scenario’s sporen onderzocht en wordt gekeken welke sporen het beste passen bij welk scenario. “Uiteindelijk kunnen we met behulp van de digitale sporen dan concluderen dat het ene scenario waarschijnlijker is dan het andere.”
Detectie en reactie
Doekhie ziet dat private partijen zoals particuliere onderzoeks- en recherchebureaus een belangrijke bijdrage kunnen leveren aan het gebruik van digitale sporen voor forensisch onderzoek en recherchewerk. “De detectie van een incident vindt doorgaans plaats binnen de getroffen organisatie, die een first response team inschakelt. De private sector kan ervoor zorgen dat de sporen worden veiliggesteld en ook dat de first response goed plaatsvindt. Het is bijvoorbeeld belangrijk om te oefenen met een crisisplan en om een crisisteam te formeren dat het thema cyberveiligheid op de agenda houdt binnen de organisatie. Een brand op het hoofdkantoor van een onderneming is verwoestend, maar een cyberaanval kan alle vestigingen over de hele wereld platleggen.”
Snelle detectie en een adequate reactie – daar moeten we de komende tijd hard aan werken, vindt Doekhie. “De gemiddelde detectie na een hack is ongeveer een jaar. Detectiesystemen zijn vaak niet op orde, of monitoren niet alle risico’s. Als de stap daarna – de incident respons – ook niet goed is geregeld dan zijn de potentiële effecten op de organisatie enorm. Nog even los van het verlies van digitale sporen voor de opsporing.”
Lage aangiftebereidheid vanwege angst voor imagoschade
De relatief lage aangiftebereidheid bij het MKB en ook bij burgers is een punt van zorg voor de politie. “Mensen vragen zich misschien af: heeft het wel nut om aangifte te doen? Daarnaast speelt bij ondernemers soms angst voor imagoschade mee. Dat is ontzettend jammer. Er zijn cyberteams binnen de politie die zaken oppakken. Bovendien onderzoeken en monitoren we opvallende patronen in grote aantallen aangiften. Daarmee doen we nieuwe inzichten op over bijvoorbeeld veranderende modus operandi, die helpen om preventie te verbeteren.”
De toekomst van digitale opsporing
In de toekomst wordt de samenwerking met de private beveiligingssector steeds belangrijker, verwacht Doekhie. “We staan voor de uitdaging om elkaars belangen te erkennen: voor de politie heeft de opsporing de prioriteit, terwijl voor particuliere onderzoeksbureaus eerder het herstel na het incident voorop staat. Maar na een incident kunnen we heel goed samen optrekken. Zo begeleidt de politie onderzoeken op locatie als een bedrijf is getroffen door een cyberincident en denken we mee over de aanpak van het onderzoeksbureau daarbij. De samenwerking gaat dus veel verder dan hoe het nu vaak verloopt: een onderzoeksbureau dat bij de aangifte een rapport overhandigt.”
De samenwerking met de private beveiligingssector wordt steeds belangrijker
Ook de samenwerking tussen tactische rechercheurs en digitale specialisten is volgens Doekhie een succesfactor voor de toekomst. “Digitaal bewijs is vaak lastig om rond te krijgen. Daarom hebben we tactische én technische rechercheurs hard nodig. Met het samenbrengen van fysieke en technische sporen hebben we goud in handen.”
Lynsey Dubbeld is communicatieadviseur, contentstrateeg, trendanalist en copywriter
Over Gina Doekhie
Gina Doekhie werkt als cybercrimespecialist bij de Regionale Recherche van de politie-eenheid Den Haag. Ze werkt aan forensisch onderzoek en geeft trainingen over cyber security. Daarnaast is zij expert in rechtszaken, waar ze de rechtbank adviseert over de relevantie en waarde van digitale bewijzen. Eerder werkte ze als digitaal forensisch onderzoeker bij Fox-IT.
Doekhie studeerde Artificial Intelligence aan de Vrije Universiteit Amsterdam en Universiteit van Amsterdam, en rondde daarnaast masteropleidingen in Forensic Science en Forensic Intelligence af.