De meeste veiligheidsmaatregelen richten zich op het voorkomen van problemen. Wil men ook in die situaties controle over de gebeurtenissen blijven houden en weloverwogen beslissingen kunnen nemen, dan zal men tevoren moeten zorgen voor een goed doordacht en duidelijk veiligheidsbeleid, verschillende draaiboeken en de juiste forensische tools. "Tot vijf jaar terug was de audit software van accountants niet gericht op de analyse van data, maar op die van systemen", zegt Carlos Neves Cordeiro van de 4i Trust Group, gespecialiseerd in forensics en risico management. "De auditor onderzocht hoe procedures in elkaar staken en hoe systemen waren opgebouwd, en hij controleerde en testte deze. Hij ging er van uit dat als de werking van dit alles in orde was, de data dat ook zou zijn. Tegenwoordig ligt de nadruk steeds meer op de transacties zelf, en worden de systemen meer behandeld als een black box. Dan worden bijvoorbeeld 10 miljoen records gecontroleerd en de transacties gereconstrueerd."

Integriteit bronnen

Om de output te kunnen checken moet wel de daarvoor gebruikte input beschikbaar zijn. "Steeds vaker moeten bij fraudeonderzoek grote hoeveelheden data worden doorgewerkt en transacties worden gereconstrueerd. Door wie is wat gedaan, en via welke stappen? Zo ga je bijvoorbeeld tewerk als iemand transacties bundelt, zelf de marges voor de bulk opstrijkt, en deze vervolgens weer uitsplitst. Daarvoor is het nodig de integriteit van het bronbestand te waarborgen. Want bij de rechter moet je kunnen aantonen dat de bron zuiver is. Daarom gebruiken we tegenwoordig tools uit de law enforcement wereld. Die zijn immers gericht op het veiligstellen en onderzoeken van sporen." Waar Neves Cordeiro zegt ook wel eens een compleet rekencentrum van een grote it-dienstverlener te hebben nagebouwd, beperkt Candi Carrera, Senior Security Consultant bij Telindus, zich tot de pc-systemen. "Wij willen geen AS/400 systemen analyseren, hebben daar ook niet de expertise voor. Als een klant zo groot is, hebben ze vaak zelf al allerlei zaken uitgezocht. Ze komen dan bij Telindus terecht voor de bevestiging. We hoeven ook de broncode niet te analyseren. Vaak is het bekijken van een werkstation voldoende en is aanvullend bewijs niet nodig. De rest is het gevolg, niet de bron." Net als Neves Cordeiro legt ook hij dus de nadruk op de bewijsvorming. "Logbestanden en audit trails moeten centraal worden opgeslagen, zodat deze bij een incident inderdaad beschikbaar zijn. Dat betekent ook dat je iemand moet aanwijzen die verantwoordelijk is voor het beheer en de backup daarvan. Vervolgens zul je regelmatig triggering tests moeten uitvoeren. Door het simuleren van incidenten kun je zo kijken of alles volgens plan verloopt."

Bewijsvoering

Voor tools om de digitale sporen veilig te stellen gaan de forensisch specialisten te rade bij politiediensten en overheidsinstellingen. Juist vanwege de bewijsvoering zoekt Neves Cordeiro aansluiting bij de wetshandhavers. "We willen dat onze tools bij hen bekend zijn. We gebruiken daarom dezelfde systemen als het CRI (Centrale Recherche Informatie) en het KLPD (Korps Landelijke Politie Diensten)." Carrera werkt op dezelfde manier als zijn collega. "We gebruiken EnCase van Guidance Software. Via een agent op de afzonderlijke systemen kunnen we zelfs op afstand images maken. Dezelfde software wordt bijvoorbeeld ook door banken, overheidsinstanties en de Big Four gebruikt. Bovendien is dit systeem goedgekeurd door de Amerikaanse overheid en wordt het ook toegepast door organisaties als de FBI, de CIA en de NSA. Een ander gereedschap is de ImageMASSter Solo-2, waarmee we images van complete harddisks kunnen maken. Daarnaast werken we volgens de IPAR methodiek (Identificatie, Preservation, Analyse, Report) van de Britse politie. Belangrijkste regel daaruit is dat je nooit op een origineel werkt. Daarvan houden we bovendien de volledige "chain of custody" bij: van alle handelingen die we uitvoeren schrijven we in het logboek wanneer we precies wat hebben gedaan en waarom."

Huiswerk

Voor organisaties is het volgens Neves Cordeiro belangrijk een goed draaiboek te hebben. "Als je niet voorbereid bent, en je hebt ineens een calamiteit en hij ligt op straat, dan kun je alleen nog maar een extern bureau inhuren om te laten zien dat je het zorgvuldig aanpakt. Een bedrijf kan in dergelijke gevallen natuurlijk beter zelf de controle hebben. Daarvoor is het nodig van tevoren na te denken over wat er kan gebeuren en welke tools dan nodig zijn. De security manager moet dus zijn huiswerk hebben gedaan. Alleen dan kan een organisatie de afweging maken om het onderzoek zelf te doen of toch externe expertise in te huren." Bovendien dwingt het uitwerken van verschillende scenario's bedrijven om na te denken over hun beveiligingsbeleid. Volgens Carrera mag deze voorbereiding zich niet beperken tot de vraag welke informatie nodig is en hoe de validiteit daarvan kan worden gegarandeerd, maar moeten ook de zaken daaromheen worden geregeld. "De bescherming van de privacy is vastgelegd in Europese richtlijnen. Wij vertellen onze klanten bijvoorbeeld wat de consequenties zijn van het bijhouden van logs op de e-mail berichten, of het überhaupt mag. Deze maatregelen staan daarom nooit op zich, maar zijn onderdeel van het algemene veiligheidsbeleid."

Richtlijnen

Neves Cordeiro, met zijn achtergrond in de accountancy en it-auditing, benadrukt dat hij zichzelf ook aan dezelfde regels moeten houden als bij andere accountantsonderzoeken van toepassing zijn. "We verwachten binnenkort de status van 'openbaar accountantskantoor' te krijgen en werken volgens de NIVRA richtlijnen. Alleen doen wij geen controles van jaarrekeningen maar uitsluitend forensisch onderzoek. Aan de voorkant bestaat ons bedrijf uit accountants met roots in de bedrijfsprocessen. Aan de achterkant zijn specialisten en hackers aan het werk. We zien daarbij heel veel; een PC is in die zin ook echt een 'personal' computer. We krijgen dingen te zien die zelfs een echtgenoot en beste vrienden nooit te zien krijgen. Tijdens het controleren van de e-mailboxen kom je bijvoorbeeld een romance tegen tussen twee functionarissen van het bedrijf. Dat melden we niet als het verder niets met het onderzoek te maken heeft." "Technisch is er heel veel mogelijk. We moeten dan ook vaak uitleggen dat iets wel kan, maar dat het ook in het eigen belang van de opdrachtgever is om niet alles te willen. Iets wat in de analoge wereld niet mag, kan ook niet in de digitale wereld. Dat betekent dat wij hun verwachtingen moeten managen. Het gebeurt vast heel vaak dat bedrijven zich niet aan de regels houden maar die komen dan niet bij ons terecht. Een sjacheraar klopt niet bij ons aan. Een nieuwe opdrachtgever krijgt immers als eerste van ons te horen hoe de procedures er uitzien. Iets anders kunnen wij ons niet veroorloven. Wij worden door toezichthouders ingehuurd voor invallen. Die willen elk risico uitsluiten. Dat gaat tot aan de screening van de medewerkers. Als we er één hebben werken die niet helemaal zuiver is, dan hebben we een probleem. Andere klanten zijn bijvoorbeeld multinationals, advocatenkantoren of de voorzitter van een Raad van Bestuur. Vaak gaat het om zaken waarbij het merk veel schade kan oplopen, bijvoorbeeld wanneer iemand bij een advocatenkantoor lekt."

Stekker eruit

Carrera noemt een aantal belangrijke vragen die organisaties zichzelf bij het samenstellen van hun draaiboek moet stellen: Wat is een incident? Wie bepaalt dat? Wat is de ernst ervan? Welk scenario gaan we gebruiken? Hoe zit het met de business continuity: hoe gaan we dit afhandelen, hoe escaleren en naar wie? "Je moet in ieder geval een A4-tje hebben met daarop de belangrijkste zaken. Het mag ook weer niet teveel worden: als het er vijftig zijn, kost het doorlezen daarvan simpelweg te veel tijd. Daarnaast moet je deze scenario's ook testen. Trek bijvoorbeeld één keer per jaar ergens de stekker uit." Bron: Techworld