Digitaal Forensisch Onderzoek (DFO)

Kernactiviteiten

Deskundigen op het gebied van digitaal forensisch onderzoek werken met digitaal materiaal. Dit beslaat alle uitingen, input, output en verwerking van digitale systemen. Een digitaal systeem verwerkt informatie in afzonderlijke eenheden, in tegenstelling tot een analoog systeem, dat gekenmerkt wordt door een doorlopende weergave van informatie. Digitaal materiaal kan in verschillende bronnen voorkomen, en het deskundigheidsgebied van digitaal forensisch onderzoekers wordt gekenmerkt door een toenemend aantal mogelijke bronnen. Die kunnen bestaan uit software, hardware of een combinatie van beide.

Afhankelijk van de precieze vraagstelling streven digitaal forensisch onderzoekers ernaar te onderzoeken of ontdekt digitaal bewijs met natuurlijke personen in verband kan worden gebracht. Hiervoor zal een deskundige in beginsel een reconstructie maken van hoe het digitale bewijs op het te onderzoeken materiaal is terechtgekomen.

Digitaal forensisch onderzoekers kunnen in principe elke fase van het onderzoek (dataverzameling, dataonderzoek en data-analyse) zelf uitvoeren. Ze kunnen echter ook delen van de dataverzameling of -analyse of het dataonderzoek door iemand anders laten verrichten.

De activiteiten die onder het deskundigheidsgebied digitaal forensisch onderzoek vallen zijn:

Dataverzameling
Dataverzameling behelst de juiste wijze van opslaan (bijvoorbeeld door te kopiëren) van digitale databronnen. Verzamelen betekent ofwel het veiligstellen van het origineel of het maken van een forensische kopie van de data. Opslaan houdt in dat het digitale bewijs wordt bewaard zodat het later (indien nodig) teruggehaald kan worden. Een bedrijf kan bijvoorbeeld worden gevraagd een bestaande reservetape te bewaren door ervoor te zorgen dat die niet opnieuw wordt gebruikt. Indien nodig kan hij later worden opgehaald.

Kennis van onder meer de volgende gebieden is daarbij essentieel: digitale opslagmedia (harde schijven, multimediageheugens, enzovoort), datacommunicatie, mobiele telefoons en geïntegreerde digitale apparaten. In deze fase moet een deskundige bekend zijn met de verschillende verzamelopties, en moet hij of zij in staat zijn te beoordelen welke verzameloptie in een specifiek geval moet worden toegepast. De deskundige moet ook kennis hebben van de mogelijke locaties waar bewijs kan worden gevonden. Tot slot moet hij of zij weten welke kennis en/of vaardigheden vereist zijn om bewijs veilig te stellen en de impact op het bronmateriaal tot een minimum te beperken.

Dataonderzoek
Dataonderzoek houdt verband met het onderzoeken van forensische beelden van digitale databronnen om potentieel bewijskrachtige data te vinden zonder de resulterende bevindingen in de context van de zaak te interpreteren. Het kan daarbij nodig zijn dat de deskundige zijn of haar eigen experiment opzet. In deze fase moet de deskundige in staat zijn te onderscheiden welk bewijs al dan niet relevant is en moet hij of zij dat bewijs geschikt maken voor een uitvoerige analyse.

Data-analyse
Data-analyse omvat de analyse, reconstructie, interpretatie en het geven van een kwalitatief oordeel over het bewijs dat uit de digitale databronnen is verkregen. In deze fase moet de deskundige een goed onderbouwde beoordeling kunnen geven. Interpreteren is de cruciale activiteit die data-analyse onderscheidt van dataonderzoek.

Grenzen van het deskundigheidsgebied

Het is belangrijk dat een deskundige de beperkingen van zijn of haar deskundigheid kent en daarnaar handelt. Dat betekent dat een deskundige in staat moet zijn direct in te zien dat de eigen deskundigheid of het eigen specialisme niet toereikend is om het digitaal forensisch onderzoek uit te voeren.

Interpretatie die zich uitstrekt tot buiten het digitale gebied valt niet onder het deskundigheidsgebied van het digitaal forensisch onderzoek. Voorbeelden van activiteiten die nadrukkelijk niet onder het expertisegebied van het digitaal forensisch onderzoek vallen, zijn:

  • de identificatie en vergelijking van personen/voorwerpen die zichtbaar kunnen zijn op beeldfragmenten;
  • de interpretatie van wat hoorbaar kan zijn op audiofragmenten;
  • de interpretatie van wat mogelijk is met een elektronische analoge schakeling;
  • metingen in (beeld)fragmenten;
  • fotogrammetrie: de positie/snelheid van het voertuig bepalen;
  • gezichtsvergelijking: is de overvaller dezelfde persoon als de verdachte?