Het college van bestuur van de Open Universiteit heeft prof. dr. ir. Harm van Beek benoemd tot hoogleraar Digital Forensics (digitaal forensisch onderzoek) bij de faculteit bètawetenschappen. “Ik ben van mening dat er mogelijkheden zijn om een nog beter fundament te leggen onder het digitaal forensisch onderzoek in strafzaken”, aldus Van Beek.
Door Menno Jelgersma / Beeld NFI
De leerstoel digitaal forensisch onderzoek is ingesteld in samenwerking met het Nederlands Forensisch Instituut (NFI). De nieuwe leerstoel biedt Van Beek de mogelijkheid om fundamenteel onderzoek te doen in het digitaal forensisch domein. Van Beek werkt sinds 2009 bij het NFI als digitaal forensisch onderzoeker. Digitaal forensisch onderzoek is het proces van het achterhalen, analyseren en bewaren van elektronisch bewijsmateriaal om cybercriminaliteit te onderzoeken.
> LEES OOK: Harm van Beek benoemd tot bijzonder hoogleraar Digital Forensics
Bewijs leveren
Van Beeks functie is divers: het verrichten van zakenonderzoek om de politie en het Openbaar Ministerie te helpen bij het leveren van bewijs in de rechtbank. “In mijn functie onderteken ik data-analyserapporten en licht ze eventueel als deskundige toe in de rechtbank. Daar bestaat in Nederland een register voor en daar sta ik in.” Een ander deel van zijn werk betreft research en development op het gebied van digitaal forensisch onderzoek. “Het NFI is een toegepast wetenschappelijk instituut en we kijken hoe we oplossingen uit de wetenschap kunnen inzetten in het digitaal forensisch werkveld.”
Link tussen NFI en OU
Dit is eigenlijk ook de directe link tussen het NFI en de Open Universiteit (OU). De nieuwe leerstoel biedt Van Beek de mogelijkheid om fundamenteel onderzoek te doen in het digitaal forensisch domein. “Niet in de laatste plaats omdat dit nog heel weinig gebeurt in Nederland”, vult Van Beek aan, die al meer dan vijftien jaar werkzaam is in het vakgebied en vanuit het NFI diverse publicaties heeft geschreven. Hij ziet zijn nieuwe aanstelling bij de Open Universiteit dan ook als een logische stap.
Digital Forensics brug tussen verschillende leerstoelen
De nieuwe leerstoel bij de Open Universiteit valt onder de vakgroep informatica die al over een leerstoel cybersecurity beschikt, naast leerstoelen in de rechtswetenschappen, waaronder strafrecht. “Wat blijkt is dat beide vakgroepen meer willen samenwerken. De leerstoel cybersecurity richt zich voornamelijk op het beschermen van gegevens, de rechtswetenschappen willen weten welk bewijs je wel of niet kunt gebruiken. Als er iets is gebeurd, dan vormt Digital Forensics de brug door de data te ontsluiten en de bewijzen naar boven te halen.”
Onderzoeksvragen
De focus van de leerstoel voor één dag in de week is onderzoek en later misschien onderwijs. Er komt een PhD-vacature die zich bevindt op het grensvlak van rechtswetenschap en informatica. Van Beek gaat op zoek naar onderwerpen bij het NFI waar onderzoeksvragen uit voortvloeien die binnen de Open Universiteit wetenschappelijk kunnen worden opgepakt. Deze aanpak is op zich niet nieuw, want het NFI werkt al sinds jaar en dag samen met universiteiten en hogescholen via inmiddels dertien hoogleraren en lectoren. Ook in het Co van Ledden Hulsebosch Centrum (CLHC) werkt het NFI samen met de Universiteit van Amsterdam (UvA) en het Academisch Medisch Centrum (AMC) om relevante wetenschappelijke inzichten en onderzoeksmethoden te koppelen aan forensische bevindingen.
Forensic readiness
Digital Forensics deelt veel tools en technieken met de leerstoel cybersecurity. Van Beek: “Wij kijken naar dezelfde systemen en protocollen.” Veel grote bedrijven beschikken over een incident response team dat snel kan acteren om te voorkomen dat een ‘gat’ groter wordt. Vervolgens moet je kunnen vaststellen wat de schade is. Als er een strafbare handeling is gepleegd, heb je bewijs nodig om iemand aan te kunnen klagen. Dit vereist volgens Van Beek forensic readiness. Hiermee wordt bedoeld dat de technische en fysieke infrastructuur op orde moet zijn om een gedegen onderzoek uit te kunnen voeren. “Bij het NFI hebben we hier heel veel ervaring in opgedaan. Wat is bewijs en wat niet, waar moet het aan voldoen en hoe schrijf je het op voor de rechter? Het zijn thema’s waar we misschien op termijn bij een master security-opleiding een module kunnen aanbieden.”
> LEES OOK: NFI: experiment met vaker vergelijken DNA-sporen succes
Drie thema’s
Op 1 september 2024 is de leerstoel officieel van start gegaan. Over vijf jaar hoopt Van Beek dat er een aantal fundamentele onderzoeken loopt. Van Beek: “Het lastige aan de wereld van digitaal forensisch onderzoek is dat er elke dag ontwikkelingen zijn. Ik ga dus op zoek naar onderwerpen die er over vier of vijf jaar nog steeds toe doen.”
Betrouwbare tijdlijn voor bewijsvoering
Hij denkt bijvoorbeeld aan het maken van een betrouwbare tijdlijn voor bewijsvoering. “Dat willen we nu kunnen aantonen, maar over vijf jaar ook.” Tijdsregistraties zijn afkomstig van heel veel verschillende klokken. Elk apparaat heeft een klok, maar ook alle servers hebben klokken. “De meeste lopen goed, maar als het als bewijs wordt aangevoerd in de rechtbank moet je zekerheid hebben.” Dat vereist een goede wetenschappelijke basis.
Wanneer mag je een aanname doen als je een bewijsstuk aanlevert dat de tijdregistraties kloppen? “Het zou mooi zijn als we met een wetenschappelijk onderbouwde basis, uiteindelijk geautomatiseerd, de opsporingsdiensten hierin kunnen faciliteren”, aldus Van Beek.
Data afkomstig van advocaten of geestelijken mag je niet gebruiken in het opsporingsonderzoek
Verschoningsrecht
Een tweede thema zit op het onderwerp van het vernietigen van verschoningsgerechtigde informatie. Data afkomstig van mensen die verschoningsrecht hebben zoals advocaten of geestelijken, mag je niet gebruiken in het opsporingsonderzoek. “Als je een telefoon in beslag neemt, kan die data er wel inzitten.”
De juridische werkelijkheid is duidelijk. Die data mogen niet bij de politie of het Openbaar Ministerie terechtkomen, maar technisch is dat niet altijd haalbaar. De vraag is: hoe kunnen we dat beter ondersteunen? Enerzijds de juridische werkelijkheid enigszins versoepelen en anderzijds de techniek verbeteren om te voorkomen dat die informatie bij politie of het OM terechtkomt.
Koppelen van handeling aan gebruikers
Een derde thema is het koppelen van handelingen aan gebruikers. “Uiteindelijk staat een verdachte voor de rechter en niet zijn telefoon.” Hoe koppelen we de data uit de telefoon aan de verdachte? Een verweer, legt Van Beek uit, is vaak: ik had mijn telefoon uitgeleend, ik was gehackt of ik zat niet achter de computer. Het is belangrijk voor de rechter om de juiste sporen aan de juiste verdachte te kunnen koppelen.
Forensisch platform Hansken
Het grootste project dat het NFI ooit heeft gedaan en waar Van Beek direct bij betrokken was, is het forensisch platform Hansken. Het project dat hij met een aantal collega’s in 2012 startte, werd ontwikkeld in samenwerking met opsporingsdiensten.
Reden voor de ontwikkeling was het feit dat de hoeveelheid te onderzoeken gegevens en gegevensbronnen in strafzaken enorm toeneemt. In het forensisch digitaal veld liggen volgens Van Beek verscheidene uitdagingen, maar wegwijs worden in de enorme bulk aan data staat wel ergens bovenaan de wensenlijst.
“Kijk maar in je keukenla, waar oude telefoons en een usb-stick liggen, op je computers, laptops en tablets.” Je hebt op heel veel plekken ontzettend veel data. “En als je verdachte bent in een strafzaak, kan zich op elk van die datadragers belangrijke informatie bevinden”, licht Van Beek toe. Wanneer de opsporingsdiensten al deze dragers meenemen, start de opgave om ze te ontsluiten. “Zijn we eenmaal binnen, dan tref je alleen al in een telefoon duizenden chatberichten, foto’s, video’s, documenten en andere informatiebronnen aan.”
Met de software Hansken kunnen opsporingsdiensten vervolgens in een serveromgeving een gestructureerde index produceren die duidelijk maakt welke verschillende soorten data zijn aangetroffen. “Eigenlijk op een manier waarop je op Funda naar huizen kunt zoeken”, licht Van Beek toe. “Aansluitend is het mogelijk om specifiek te zoeken naar alles wat relevant kan zijn, bijvoorbeeld woorden en namen of eigenschappen van digitale sporen in bestanden, chatberichten, e-mails of foto’s, al dan niet gemaakt met een bepaalde camera.”
Van Beek legt uit dat een gebruiker met Hansken de zoekresultaten kan blijven filteren, totdat van miljoenen sporen uiteindelijk een beheersbare selectie overblijft, en waarvan de sporen ook nog eens één voor één te bekijken zijn. Op zich is het platform wat betreft het maken van een index niet uniek, maar wat het wel uniek maakt, is dat er enerzijds een samenwerking is met de overheid en dat door de technologiekeuzes data kunnen worden geladen van duizend apparaten in een index. “Vervolgens krijg je in seconden antwoorden op al je zoekvragen”, besluit Harm van Beek.
Formele methode bij forensisch onderzoek
Van Beeks promotie ging over de formele methode: hoe je internetapplicaties en het gedrag ervan wiskundig kunt opschrijven. Met een formele methode schrijf je op hoe bepaalde systemen werken.
Van Beek legt uit dat je bij een verkeerslicht wiskundig kunt uitrekenen dat wanneer het ene licht brandt, het ander gedoofd is. Dit geldt ook voor veel complexere systemen, waarbij je wiskundig kunt aantonen dat bepaalde eigenschappen gelden of optimalisatie van zowel fysieke (industriële processen) als digitale processen mogelijk is. Van Beek: “In het forensisch onderzoek proberen wij een proces of hypothese over een gebeurtenis te duiden aan de hand van data of sporen en de gevolgtrekking daaruit af te leiden: iemand heeft een foto gemaakt, iemand heeft stappen gezet met zijn stappenteller. Als de hypothese is: dit is voorgekomen, dan wil je weten of de sporen al dan niet bij dat scenario passen. Ik denk dat het mogelijk is om bij complexe scenario’s uit te rekenen of de sporen daadwerkelijk bij een scenario passen. Dat zijn namelijk vergelijkbare technieken om te zien of je je fabriek kunt optimaliseren. We zetten deze formele technieken nog niet in, maar ik denk dat dit kan en ik wil daar graag mee aan de slag.”
Volg Security Management op LinkedIn