It-detektiven: Så säkras spåren i datorn

2015-02-06 13:29 Elisabeth Vene  
”Det vore idioti att anlita mig om man inte verkligen är oskyldig, för finns det bevis kommer de att uppdagas”, säger it-forensiska specialisten Peter Bayer.

– Förstör inte bevisen genom att installera nya program på datorn! Det är it-detektiven Peter Bayers vädjan till företagets it-avdelning när en anställd är misstänkt.

De flesta som anlitar Peter Bayer är arbetsgivare. Eller snarare deras advokater. Det är främst de som känner till att it-forensiker finns om man vill ha en opartisk utredning av digitala brott.

– Det är en bra arbetsgivare som vill försäkra sig om rätt beslutsunderlag. Men det finns också de som passar på för att de vill göra sig av med en person.

Det händer också att facket kontaktar Peter Bayer, men det hör till sällsyntheterna.

– Det är viktigt att betona att it-forensiskt arbete går ut på att opartiskt pröva en hypotes, inte för att ”sätta dit” folk, säger Peter Bayer.

Ett typiskt scenario är att en anställd blir inkallad till it-chefen och förevisad loggfiler, som bevisar exempelvis porrsurfning. Den anklagade bedyrar sin oskuld. Oftast beror det på att personen inte har gjort något, åtminstone i de fall där Peter Bayer blivit inkopplad.

– Jag har aldrig haft ett ärende där den anställda har varit så dum att jag har fått göra en undersökning fastän veder­börande är skyldig.

Den anställda kan mycket riktigt ha hamnat på en porrsajt, men utan att det syns. En internetsida är preparerad på olika vis. Det vanliga är med ”oskyldig” reklam. Men det kan också vara virus, en skadlig kod som smyglotsar användaren till porrsajten. Någon tjänar pengar på klicket som viruset gör utan användarens vetskap.

Peter Bayer uppmanar alla it-avdelningar att inte gå in i den misstänktas dator själva utan att åtminstone ha rådfrågat en expert.

– I minst åttio procent av mina fall har en it-tekniker varit inne och försämrat och ibland förstört beviskedjan.

Det Peter Bayer gör är att stänga av datorn. Han jämför med polisen som spärrar av brottsplatsen. Sedan gör han en kopia av hårddisken. Det krävs en skrivskyddsanordning för att den ska bli identisk. Sedan kan han göra sökningar på kopian.

– Vanliga it-avdelningar har inte teknisk möjlighet att titta på den här nivån, även om ledningen tror det.

Ett av Peter Bayers uppdragsområden är att hjälpa myndigheter vid intrång, ett växande problem. Men det vanligaste uppdraget gäller stöld av företagshemligheter.

– Många raderar dokumenten i tron att det är säkert. Men en it-forensiker kan återskapa dem. En jurist tycker att det ger en ännu tydligare bild om det kan dokumenteras att du har försökt dölja något, säger Peter Bayer.

Ibland kan en dator ha infekterats av att användaren råkar klicka på en länk i ett giftigt e-postmeddelande. Ibland kan infektionen bero på att användaren har tagit med sig jobbdatorn hem, där någon kan ha råkat ladda ner program eller spel som innehåller skadliga koder. När så datorn pluggas in på jobbet igen finns programvaran i datorn. Då hjälper inget skalskydd, inga brandväggar.

– Arbetsgivare har en falsk tillit till säkerhetsprodukter.

 

It-detektiven vittnar under ed

Namn: Peter Bayer.

Ålder: 36 år.

Yrke: Internationellt certifierad it-forensisk specialist med egna firman Dingard i Växjö.

Gör: Opartiska utredningar av misstänkt it-oegentlighet. Har genomfört mer än 450 digitala utredningar. Är under konstant ed.

Bakgrund: Masterexamen i data­teknik med inriktning programvaruteknik, Blekinge tekniska högskola.

Etiken viktig för certifierade forensiker

* Det finns 2-3 olika certifieringar för forensiker, men ett fåtal är certifierade i Sverige. Att vara certifierad innebär inte alltid att du är bättre tekniskt, men den som an­litar dig vet att du följer etiska regler och vet hur bevismaterialet ska hanteras på ett juridiskt korrekt sätt. I USA och Storbritannien får man inte vittna om man inte är certifierad.

* Några stora koncerner har egna kunniga it-forensiker.

Källa: Peter Bayer

Elisabeth Vene

Kommentarer

Välkommen att säga din mening på Arbetarskydd.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Arbetarskydd eller av oss anlitad personal.

  Kommentarer

Kampen

Arbetsmiljö