Convenanten / procesgang binnen een bedrijf

Het met een druk op de knop leveren van forensisch bewijs betekent dat er reeds informatie is vastgelegd. Volgens artikel 8 EVRM is beperking van het recht op eerbiediging van de persoonlijke levenssfeer alleen toegestaan voor zover dit "bij de wet is voorzien" en dit "in een democratische samenleving noodzakelijk is". Artikel 10 van de grondwet gebiedt dat de beperking van het grondrecht op bescherming van de persoonlijke levenssfeer een basis dient te hebben in een wet in formele zin. Uiteindelijk gaat het zoals reeds op de andere blogs vermeld is om toetsing aan de beginselen van proportionaliteit en subsidiariteit.

(Strafvorderlijke) Vergaring van gegevens is in beginsel toegestaan, ook indien er sprake is van aanwending van gegevens voor een ander doel dan waarvoor de gegevens zijn vergaard en ook indien dit leidt tot een inbreuk op het grondrecht op bescherming van de persoonlijjke levenssfeer, mits steunend op de wet, noodzakelijk in het belang van de strafvordering en voorzien van passende waarborgen. Er moeten waarborgen zijn tegen willekeur en er moet voldaan zijn aan de eis van toegankelijkheid en voorzienbaarheid.

In ons geval is de uiteindelijke doelstelling vastleggen van digitaal bewijs voor strafbare feiten. In principe wordt aan bovenstaande criterium "vastleggen voor andere doeleinden dan …" voldaan. Tegelijkertijd moeten persoonlijke belangen beschermd worden. Met andere woorden:

Er moeten afspraken komen en deze afspraken moeten worden getoetst.

Dit klinkt als een overeenkomst / convenant.

Wat we willen bereiken is een procedure binnen bedrijven waarover afspraken gemaakt worden en die door onafhankelijken kan worden beoordeeld op juistheid, maar ook kan worden gecontroleerd op de wijze van uitvoeren. Met andere woorden:

De volgende processen/inrichtingsmaatregelen moeten worden genomen:

Stap	Omschrijving
Voer Risico analyses uit	Het startpunt, eerder de hypothese genoemd, voor het bepalen in welke situatie bewijs geleverd zou moeten kunnen worden. Vaststellen welke hierbij gebeurtenissen van belang zijn en derhalve bewaard moeten worden. Onderdeel van deze stap is inschatten hoe vaak situatie zich voordoet om een prioriteit vast te kunnen stellen. Een berekening van de optredende kosten (directe kosten, gevolgschade en imagoschade) kan hierbij helpen.
Doe een analyse van het gewenste bewijs	Van alle geïdentificeerde gebeurtenissen moet een overzicht van bronnen van bewijs worden aangegeven.
Beoordeel beschikbaar bewijs	Dit overzicht moet worden vergeleken met de beschikbare bronnen van bewijs om gaten te identificeren.
Verzamelen belangrijke Systeemdocumentatie	Deze documentatie moet het systeem en de door dit systeem geleverde diensten kunnen uitleggen aan onderzoekers/juristen. Eventuele onvoorziene gebeurtenissen kunnen hiermee sneller worden geidentificeerd, waardoor nieuwe bronnen van bewijs kunnen worden gevonden en/of bewaakt.
Beoordeel backups, archiveringsprocedures en faciliteiten	Backups worden meestal bewaard voor disaster recovery of compliance doeleinden, maar de relatie naar bewijsvoering van goede backups moet eveneens beschreven worde.
Schrijf beleid bewijsmateriaal inzameling en -behoud	Nu is het mogelijk een beleid te schrijven waarin wordt aangegeven hoe om te gaan met het verzamelen van bewijs. Daarnaast moeten richtlijnen worden geschreven hoe specifieke resources dienen te worden behandeld. Deze richtlijnen moeten periodiek worden herzien.
Zet een incident management team op	Peronen en taken moeten benoemd worden. Het moet duidelijk zijn wie wat doet, aan welke persoon/instantie wat gerapporteerd wordt.
Herzie de arbeidscontracten	Aanpassingen in de bestaande arbeidscontracten kunnen noodzakelijk zijn. Zie hiervoor ook de overige blogs. Samenvattend betreft het hier: mogelijke strijdigheid tussen opslag van digitaal bewijs en mensenrechten. Meldingen aangaande de aanpassingen als gevolg van het beleid en/of de richtlijnen kunnen noodzakelijk zijn.
Identificeer omissies	Al bovengenomde stappen kunnen leiden tot het identificeren van omissies. De belangrijke issues zullen op basis van de risico analyses zijn af te leiden.

De volgende operationele maatregelen moeten worden genomen:

Stap	Omschrijving
Benoem een aanspreekpunt	Dit is een startpunt binnen de organisatie waar requirements om bewijs te produceren in 1ste instantie worden aangeleverd. Dit aanspreekpunt doet ook de initiële diagnose en stelt procedures op rond de levering van het bewijs.
Richt een CSIRT in	Het CSIRT bestaat uit bijvoorbeeld: Hoofd IT; Hoofd IT security; Link naar het MT; Afgevaardigden uit veiligheidszaken, personeelszaken, public relations, juridische zaken en een terzake deskundige. Doelstelling is het MT bij operationele taken te vervangen.
Rol van het MT	De rol van het MT is naast de huidige taak: Supervisie over het CSIRT, inclusief beoordeling van taken en resources; Beoordeling van de implicaties voor dagelijkse gang van zaken binnen het bedrijf; Beoordeling van de implicaties voor de relatie met stakeholders; Supervisie over schadeclaims; Supervisie over public relations issues.
Single Point of Contact	Een specifiek aanspreekpunt vergemakkelijkt de contacten met justitie. Het SPOC biedt ondersteuning aan toegang tot specifiek bewijsmateriaal, achtergrond informatie en ondersteunt bij afspraken voor interviews

Conclusie:

Het proces rond het verkrijgen van forensisch deugdelijk bewijs moet controleerbaar zijn. Dit betekent dat processtappen en (taken van) medewerkers duidelijk gedefinieerd en controleerbaar moeten zijn. Wij hebben een poging gedaan eisen neer te zetten op basis waarvan convenanten kunnen worden afgesproken met het openbaar ministerie.

Hiermee is ons inziens een mogelijkheid geschapen met één druk op de knop (zie bovengenoemde proces/inrichtings stappen) deugdelijk bewijs te leveren. Alle betrokkenen kunnen dit bewijs op zowel de inhoud als de procesgang beoordelen aan de hand van het convenant.

Samenvatting forensisch onderzoek

Op onze weblog is onder “Categories” een document te vinden waarin Bert en ik de diverse onderwerpen m.b.t. de organisatorische, juridische en technische facetten gerelateerd aan forensisch onderzoek, nader hebben uitgewerkt.
De onderlinge relaties zijn in een eerder stadium op onze weblog al beschreven, onder andere de enigszins revolutionare rol en functie die een CSIRT kan krijgen binnen het onderzoek. Nogmaals willen wij hierbij benadrukken dat deze gedachtengang sterk afwijkt van de heersende mening over de inzet van een CSIRT (of wellicht CERT) binnen een organisatie. In ieder geval hebben wij op dit moment reeds concrete successen geboekt, ondanks dat de gekozen strategie c.q. denkwijze nog verre van optimaal is.
Daarnaast blijkt het hele proces rond het verkrijgen van forensisch deugdelijk bewijs essentieel te zijn. Met name de huidige trend waarbij de nadruk steeds meer komt te liggen op het preventieve karakter en dus niet het correctieve aspect, heeft nader onderzoek noodzakelijk gemaakt. Dit onderwerp zal dan ook nog apart de revue passeren.
Tenslotte hebben we de probleemstelling wederom gepubliceerd. Die was vanwege onduidelijke redenen van onze weblog verdwenen. Forensisch onderzoek zal uit moeten wijzen wie of wat hiervan de oorzaak is geweest. Indien onze filosofie wordt gevolgd, zal dat geen enkel probleem opleveren. Aanstaande dinsdag hopen wij hierover uitsluitsel (bewijs) te kunnen geven.

Soorten bewijs

Wat is nu van belang? We praten feitelijk over twee verschillende zaken:

1. Het voldoen aan strafvorderlijk onderzoek en;
2. Voorkomen van misbruik door derden.

Ad.1. Bij strafvorderlijk onderzoek is sprake van gegevens over het bestaan van een relatie (in de figuur de voorvragen), gegevens ter identificatie en gegevens over handelingen van en dienstverlening aan een persoon.

In de afbeelding wordt dit nader toegelicht:

Volgens het rapport “Gegevensvergaring in strafvordering” (Commissie strafvorderlijke gegevensvergaring in de informatiemaatschappij) zullen de houders van gegevens in de meeste gevallen beslissen of het belang van het strafvorderlijk onderzoek zwaar genoeg is om de gegevens te verstrekken. Ook meldt dit rapport dat hierop uitzonderingen zijn:

1. Voor bepaalde tijd wordt bij voorbaat afgesproken welke informatie, onder welke voorwaarde en tegen welke kosten en bij welke houder mag worden opgevraagd.
2. In gevallen waarin een vertrouwensband met de klant prevaleert, worden gegevens alleen verstrekt met toestemming van de persoon zelf.

Hiermee wordt duidelijkheid geschapen over wat er kan worden opgevraagd en bij wie dit kan worden opgevraagd. Deze duidelijkheid vooraf betekent ook dat afweging of gegevens geleverd mogen worden duidelijker of in ieder geval transparanter is. Dit gebied zullen we niet verder uitwerken; Dit is reeds in onderzoek bij justitie zelf.

Ad.2. Bij het voorkomen van misbruik is nog geen sprake van strafvorderlijk onderzoek en wordt het des te belangrijker goede afspraken te maken over rechtszekerheid van alle betrokkenen. Om misbruik te voorkomen worden reeds veel zaken vastgelegd (al of niet als gevolg van wetgeving):

Hier ligt een relatie naar de reeds vermelde “Chain of Evidence“. Wat moet je nu vasthouden om toekomstig strafvorderlijk onderzoek te ondersteunen? Eigenlijk praten we hier over “Information life cycle management”. En daarmee komen we weer aan bij wat spreken we nu af over hetgeen we willen bewaren.

Om met Ralph te spreken: De “Chain of Evidence” moet aantoonbaar in orde zijn. Het eenvoudig voorkomen van een regel in een database is niet voldoende. Ook de wijze waarop de regel is opgenomen moet voldoende betrouwbaar aangetoond kunnen worden. Het grote gevaar hier is de explosie van informatie die kan ontstaan en bewaard moet worden.

Verzamelen van bewijs: Huidige uitgangspunten

Forensisch bewijs moet een relatie leggen tussen slachtoffer, dader en misdaad. In de literatuur wordt veelal gesproken over de volgende uitgangspunten voor het verzamelen van digitaal bewijs:

1. Creëer uitgebreide logs (audit trails, etc.);
2. Maak een image van de harde schijf;
3. Creeer een checksum van deze image en gebruik het origineel niet!
4. Leg digitale handtekening over de verzamelde gegevens;
5. Documenteer toegang tot/wijziging van de gegevens met wie, wanneer en waarom;
6. Bewaar het origineel op beveiligde plaats.

Bij deze opsomming is impliciet aangenomen dat alle bewijs te vinden is op de specifieke computer als onderwerp van onderzoek. Dit is a-posteriori onderzoek. Er is iets gebeurt en vervolgens moeten we trachten zoveel mogelijk bewijs van dit iets te vinden en dit bewaren op een zo betrouwbaar mogelijke manier.
In netwerkomgevingen moet ook de relatie tussen gebeurtenissen op verschillende machines kunnen worden gelegd. Weergegeven in de volgende figuur:

Ook hier moet nog steeds achteraf gezocht worden naar relaties.

Waar wij echter naar op zoek zijn is a-priori vastleggen van bewijs. Waar moeten we dan naar zoeken? Wij hebben het dan over op voorhand identificeren van mogelijke vormen van misbruik en/of aanvallen en de bijbehorende aanvalsplannen. Je wilt kunnen vaststellen welk bewijs je nodig hebt ter ondersteuning van de uiteindelijke rechtszaak. Met andere woorden je onderzoekt:

• Een hypothese. Wat zijn mogelijke vormen van misbruik;
• Wie wil misbruik maken van jouw apparatuur en waarom wil hij dat doen;
• Welke mogelijkheden zijn er voor het misbruik, of welke zijn het meest waarschijnlijk;
• Wat observeer je om bovengenoemde punten aan te tonen.

Er moet derhalve een proces bestaan in je organisatie waarin je de volgende zaken kunt aantonen:

1. Voorafgaand aan het incident bevond jouw omgeving zich in een "schone" toestand;
2. Je hebt vastgelegd wat deze toestand heeft veranderd;
3. Je kunt aantonen dat je de gevolgen van de nieuwe toestand hebt beperkt en op welke wijze je dat hebt gedaan;
4. Je kunt aantonen dat je professionele hulp hebt ingeschakeld.

Eventueel moet je kunnen aantonen dat de gebeurtenissen binnen je eigen omgeving (zowel op computers als in netwerken) gerelateerd kunnen worden aan de gebeurtenissen in netwerken en computers van derden.

Om dit te kunnen doen zijn er afspraken nodig. Er bestaan convenanten waarbij justitie de bewijsvoering van een partij op voorhand accepteert. Financiële instellingen leggen bijvoorbeeld in hun algemene voorwaarden vast dat bewijsvoering geschiedt op basis van haar systemen.

Uiteraard kunnen we hier rekening houden met juridische aspecten zoals privacy wetgeving. Wordt vervolgd met welke partijen zijn nodig om een betrouwbare procesgang te creëren?

Juridische onderwerpen/aandachtsgebieden

Collega's,

op de diverse weblogs is al veel te vinden over mogelijke juridische aandachtspunten bij het verkrijgen en waarborgen van forensisch of digitaal bewijs binnen de organisatie. Met name in relatie met de huidige regel- en wetgeving, zoals de WBP en WOR. Het is mijns inziens echter essentieel om hierbij initieel een logische basis te hanteren. Onze basis bestaat uit drie grondslagen:

• Privaatrechterlijk
• Publiekrechterlijk
• Internationaal

In relatie met het privaatrechterlijke aspect zijn onder andere het aansprakelijkheidsrecht, de WOR en het arbeidsrecht relevant. De WBP en het WvS spelen een rol bij de publiekrechterlijke grondslag. De artn 76 t/m 78 WBP behandelen gegevensverkeer met landen buiten de EU en zijn derhalve internationaal van toepassing.

Er zijn daarnaast een aantal comments gekomen over onze keuze om het CSIRT een prominente rol te laten spelen bij het forensisch onderzoek. Binnen mijn eigen organisatie hebben we hiermee al vijf jaren buitengewoon positieve ervaringen. Grootste aandachtspunt hierbij blijft de mandatering van het betrokken personeel en niet, zoals een ieder wellicht zou verwachten, het genereren enz. van digitaal bewijs dat aan alle wettelijke eisen voldoet. Overigens valt het CSIRT direct onder de directeur beveiliging en voert niet louter operationele taken uit (opmerking Gert-Jan). Het CSIRT bestaat ook uit een tweetal beleidsmakers.

We hebben tevens getracht een normenkader samen te stellen, waarin staat beschreven aan welke normen de forensische organisatie moet voldoen c.q. rekening moet houden. Het kader beschrijft de organisatorische & personele, juridische en technische aspecten. In dit kader willen we ook nog bekijken, of een convenant met het Openbaar Ministerie een toegevoegde waarde heeft. Daarin dienen een aantal wederzijdse afspraken beschreven te worden, waaraan elke partij zich zal houden bij een daadwerkelijke aangifte waarbij digitaal bewijs een rol speelt.

Op dit moment zijn we bezig de integratie van de organisatorische, juridische en technische onderwerpen te optimaliseren, hopenlijk resulterende in de beoogde "een-knop-oplossing". Publicatie hiervan zal waarschijnlijk als bijlage geschieden.

Tenslotte nog een tip: electronic monitoring of evidence levert aardige zaken op.

Hans   

CSIRT in plaats van CERT

Collega’s,
Bert en ik waren van plan het CERT een centrale rol toe te wijzen bij alles rondom de uitvoering van het forensisch onderzoek. Dat blijkt gezien de formele taaktoewijzing van een CERT niet de meest optimale oplossing te zijn. De (Amerikaanse) literatuur, zie CERT & CSIRT en Electronic Monitoring, geeft bij de Lessons Learned aan dat een CSIRT het meest in aanmerking komt. Zie ook het CSIRT-handbook, ik meen dat Bart daar al naar had verwezen.

Daarnaast valt het me op dat iedereen initieel de nadruk legt op alle facetten rondom het electronisch bewijs oftwel de juridische component. Aangezien dit een essentieel item is, is dat natuurlijk correct en goed te begrijpen. Echter ik mis tot nu toe randvoorwaarden, uitgangspunten en referenties en wellicht adviezen m.b.t. het organisatorische aspect. Oftewel: hoe is de belegging in de staande organisatie geregeld.
Hans

Concept scriptie

Collega’s,
Bert en ik zullen in de categorie “Concept scriptie” de volgende delen fasegewijs publiceren (Scriptie Forensics):

– Probleemstelling; – Integratie en aanpassing CERT-werkzaamheden i.h.k.v. het aanleveren van digitaal bewijs;
– Beschrijving van het proces in een organisatie m.b.t. de aanlevering van digitaal bewijs;
– Juridische aspecten waarmee de organisatie geconfronteerd wordt m.b.t. digitaal bewijs;
– Technische inkadering binnen de organisatie.

Onze uitgangspositie is derhalve een bestaande organisatie waarin een CERT actief is. We gaan trachten deze organisatie op een zodanige manier aan te passen (Alf opgelet), dat ze in staat is op elk gewenst moment de vereiste digitale bewijzen aan te kunnen leveren. Daartoe zullen we de relevante organisatorische, personele, juridische en technische maatregelen gaan beschrijven.
Hans

Rol CERT bij forensisch onderzoek

Geachte collega’s,
Bert en ik zijn aan het uitzoeken op welke wijze een CERT een bijdarge kan leveren bij de totstandkoming van digitaal bewijsmateriaal. Gezien de taken en werkzaamheden van een CERT, onder andere het reageren op incidenten en calamiteiten, willen we bezien welke (extra) maatregelen binnen een organisatie genomen moeten worden, zodat de door het CERT opgeleverde data als bewijs in een civielrechterlijke als ook een strafproces gebruikt kan worden. Met name de juridische aspecten, zowel op nationaal als internationaal niveau, blijken hier een belangrijke rol te spelen.
Hans

Doelstelling

Jan heeft als doelstelling meegegeven:

Creeer een systeem waaruit met een druk op de knop bewijsmateriaal geleverd kan worden, dat in een rechtzaak kan worden gebruikt.

Als achtergrond veronderstel ik hierbij een roep om vertrouwen in de techniek. Blijkbaar zijn we niet in staat om voldoende betrouwbaar bewijsmateriaal te verzamelen wanneer we constateren dat er een strafbaar feit is gepleegd. Uit diverse verwijzingen in het Handbook of Legislative Procedures of Computer and Network Misuse in EU Countries blijken weinig zaken aangegeven te worden. Als oorzaken blijken onder andere genoemd te worden onbekendheid met het identificeren van de dader en de typering van de 'zaak'.

Als probleemstelling kunnen we met dit in het achterhoofd stellen:

De internet-techniek kan niet voor 100% vertrouwd worden.

Oplossingen moeten dan op verschillende vlakken gevonden kunnen worden. Vertrouwen kan verbeterd worden wanneer aangetoond wordt dat een proces goed in elkaar zit. Een organisatie moet dus zodanig ingericht worden dat bewijsvoering geaccepteerd wordt. De vraag wordt dan:

• Wat is een formele organisatie die geaccepteerd wordt door Justitie? Welke vereisten worden gesteld aan bv politie?
• Hoe waarborg je de integriteit van deze organisatie?
• Op welke wijze mag materiaal aangeleverd worden?
• Moeten verzoeken om tegenbewijs ondersteund worden (een 'verdachte' mag twijfelen aan de juistheid van het materiaal)?

Documentatie Forensics

Bert,
ik zal een aantal interessante papers meenemen.
Hans

The Forensic chain of evidence model

The Chain-of-Evidence Model illustrates the discrete sets of actions carried out by an insider attempting to inflict malicious damage in an intranet environment. One group of actions is separated from another, based on the level of authority required to execute them. Each group of actions has a different corresponding source of evidence that must be responsible for documenting activity for forensic purposes. However each such source of evidence must be linked to the logs next to it (see above figure) in order to form a complete chain of evidence.

Raad van State!

Hans voor de samenvatting kun je hier klikken.