Computer Forensics.DK Sidste opdatering: 24.marts 2006
hjem | computer forensics | incident response | electronic discovery | programmer | knowledge base | links | rootkits | mig | sitemap | kontakt

                                                                  Electronic Discovery

Electronic Discovery er den amerikanske betegnelse for indsamling og undersøgelse af elektroniske dokumenter og andet elektronisk bevismateriale i forbindelse med juridiske tvister. It-bevissikring og it-undersøgelser kan f.eks. finde sted ved mistanke om bedrageri, for at facilitere bevisførelse imod en ansat der har optrådt illoyalt imod sin virksomhed, eller for at afdække en lang række andre former for misbrug foretaget i en virksomhed eller organisation. Specialiseret electronic discovery foretages ofte af en uvildig tredjepart, der indkaldes for at medvirke til at afdække en sag, men kan også finde sted på foranledning af en enkelt part i sagen. Man skal være opmærksom på, at it-undersøgelser af elektroniske dokumenter, der foretages af jurister, eller andre personer, uden træning i electronic discovery, potentielt kan medføre risiko for tab af elektroniske spor. 
I forbindelse med electronic discovery forstås "elektroniske dokumenter" sædvanligvis som alle former for data der er skabt eller opbevares på en computer, på et computer netværk eller en anden form for opbevarings medie. Termen dækker således over bl.a. e-mails og vedhæftede filer, memoer, rapporter, rene tekst filer, regneark, digitale billeder og tegninger, præsentationer og så videre. Elektronisk bevismateriale dækker yderligere over en lang række forskellige elektroniske spor, der kan indsamles fra elektroniske dokumenter og it-systemer (se nedenfor).

Hvorfor er electronic discovery interessant for jurister?
Stadig flere virksomheder og organisationer er blevet afhængige af deres it-systemer. Alt fra regnskabssystemer til håndtering af forretningskritiske information og viden opbevares og håndteres via it. Samtidig med it-systemerne er blevet stadig mere kritiske, eksistere en stadig større del af virksomheder og organisationers data og viden nu kun i elektronisk form (i modsætning til i papir form). Nogle undersøgelser har vist at over 90% af en virksomheds dokumenter skabes elektronisk, og at en stadig større del af dokumenterne aldrig bliver printet ud (Law Technology News, 1999). Hvis en jurist kun gennemgår dokumenter der er tilgængelige i papir form vil man derfor kun sjældent kunne opnå fuld indsigt i en sag.

På samme måde benyttes e-mail og andre former for elektronisk kommunikation i stadig stigende grad i stedet for breve og telefon samtaler. Disse efterlader ofte en mere eller mindre permanent, og oftest kronologisk, forklaring på hændelser, der kan indsamles og undersøges i forbindelse med bevissikring eller afdækning af en sag.

Det betyder naturligvis at alle e-mails, dokumenter, regneark m.v. i en virksomhed eller organisation kan være potentielt bevismateriale. Electronic discovery bruges således til at identificere, indsamle og undersøge store data mængder fra mange forskellige kilder, inklusive bærbare computere, Cd-rom'er, mobiltelefoner, telefonanlæg, backup, fil- og mailservere osv. Data kan ofte være spredt på mange forskellige computere, forskellige fysiske lokationer, og i nogle tilfælde, mange forskellige lande. Typisk indsamles dokumenter i papirform samtidig med de elektroniske, og relevante dokumenter indscannes for at kunne indgå i den efterfølgende undersøgelse sammen med de elektroniske.

Udover den eksplosivt voksende brug af bevissikring i forbindelse med krænkelser af immaterialrettigheder m.v., har der indtil videre kun været få eksempler på brug af electronic discovery i danske retssager. Artiklen fra Jyllands Posten her på siden er et af de få eksempler jeg kender til på nuværende tidspunkt, men der er ingen tvivl om der også i Danmark vil ske yderligere eksplosiv vækst i brugen. Et enkelt eksempel, af efterhånden mange, fra udlandet er Merrill Lynch, der i 2002 blev dømt til at betale 150 millioner dollars i erstatning, fordi electronic discovery afslørede, at aktieanalytikere havde anbefalet aktier, selvom de i interne e-mails talte negativt om de samme aktier.

Hvornår er computer forensics en del af electronic discovery?
Electronic discovery er ikke det samme som hverken computer forensics eller incident response, men computer forensics teknikker og principper er ofte et vigtigt underområde i electronic discovery processen, specielt indenfor data indsamling.
Nogle grundelementer er altid fælles for computer forensics og electronic discovery, f.eks. brug af chain of custody procedurer, og der vil være tilfælde hvor både computer forensics og electronic discovery kan være nødvendigt for at opnå et bredere kendskab til data. Computer forensics bliver dog specielt brugt indenfor electronic discovery når indsamling af slettede, skjulte eller krypterede filer er vigtig for en sag. Ligeledes kan forensics være vigtig, hvis f.eks. tidspunktet en fil er oprettet, ændret eller læst er potentiel vigtig bevismateriale i en sag.

Hvis det indsamles og bruges rigtigt, er der betydeligt flere informationer i elektroniske dokumenter end i papir dokumenter. Elektroniske dokumenter kan f.eks., i modsætning til dokumenter på papir, ofte vise hvem der står som oprindelig forfatter af et dokument, hvornår et dokument er oprettet, sidst editeret, kopieret m.v. I nogle tilfælde viser elektroniske dokumenter også hvilke ændringer der er foretaget i dokumentet. Denne type information ("metadata", dvs. "data om data") kan ofte, sammen med de elektroniske dokumenter som metadata'en stammer fra, være med til at afdække hvem der vidste hvad, og hvornår de vidste det. Metadata indsamles og analyseres vha. teknikker fra computer forensics verdenen.
Computer forensics udføres typisk på et begrænset antal servere, hvorimod electronic discovery ofte udføres fra en lang række harddiske og andre former for opbevaringsmedier.

Data analyse og visualisering
I forensics data analyse indsamles og opbevares store mængder data for efterfølgende analyse. Formålet med data analysen er at finde "nålen i høstakken" (hvis den findes), dvs. at afsløre relevant information, der er skjult mellem store mængder urelevant data. Man forsøger i løbet af data analysen at afsløre skjulte mønstre og ukendte forbindelser indenfor grupper af data vha. søgninger og data mining. I nogle former for electronic discovery gives der adgang til at læse og søge i (dele af) den indsamlede data for begge parter i sagen, i nogle tilfælde over Internettet. I andre tilfælde udføres hele undersøgelsen af den uvildige tredjepart.

Udover søgninger på nøgleord, forbindelser m.m. inddeles data analyse typisk i fire hovedtyper:
- Fund af mønstre og hændelsesforløb ("a og b og derefter c")
- Kategorisering ("x, y og z giver samlet en transaktion").
- Afvigelser ("høje/lave, større/mindre end, afvigende datoer eller tider, mønstre")
- Påvirkninger ("disse forskellige måder at vise data burde beskrive det samme, gør de det?")

Der kan bruges specialiserede programmer til grafisk analyse/visualisering for at organisere og tolke den indsamlede data, og derved gøre det muligt at udtrække bevismateriale fra meget store og meget komplekse datasæt. Visualiseringer hvor objekter som personer, banknumre, virksomheder osv grafisk kædes sammen med brug af farver, fotos, dokumenter, video osv. kan hjælpe med at organisere, identificere og tolke hvad der er kendt og hvad der skal undersøges nærmere.

Fremtiden
Tre generelle forudsigelser i forbindelse med electronic discovery:
1) Der vil blive eksplosiv vækst i brugen electronic discovery i takt med jurister bliver opmærksomme på mulighederne. Indenfor en overskuelig fremtid vil electronic discovery være reglen, og undersøgelser hvor der kun undersøges data tilgængeligt på papir, være undtagelsen.
2) Validiteten af digitalt bevismateriale vil blive draget i tvivl, når jurister bliver mere opmærksom på mulighederne for fejltagelser under indsamlingen af elektronisk data. Det betyder, at specialister og faste procedurer for indsamling af digitalt bevismateriale bliver endnu vigtigere end i dag.
3) Antallet af forbrydelser hvor der benyttes IT vil stige jo flere sager der omtales i pressen. Flere sager vil blive omtalt i pressen når electronic discovery benyttes af jurister.

Sarbanes-Oxley m.m.
En række internationale standarder og love indeholder krav om incident response/computer forensics procedurer.
Den amerikanske Sarbanes-Oxley (SOX) lov kræver f.eks. i sektion 302, at en tilstrækkelig intern kontrol struktur skal inkludere "controls related to the prevention, identification and detection of fraud."  Da hovedparten af en virksomheds information nu kun findes i elektronisk form, bliver indsamling og analyse af elektronisk data den primære proces for interne undersøgelser i en virksomhed. Det betyder at virksomheder må være i stand til at indsamle, undersøge og bevare elektronisk data i forbindelse med undersøgelser af f.eks. besvigelser og bedrageri.
Sarbanes-Oxleys krav til undersøgelser af interne anmeldelser ("whistleblower provisions") kan også betyde at en virksomhed bliver nødt til at foretage undersøgelser af elektronisk data. Se f.eks. computer forensics virksomheden Encase for en mere detaljeret diskussion af SOX og undersøgelser af elektronisk data. 

ISO 17799, den internationale standard for IT-sikkerhed, har forskrifter for bl.a. indsamling og håndtering af bevismateriale i sektion 12.1.7.

 
Copyright © 2004-2008 Computerforensics.DK