På Ibas i Kongsvinger har de klart å rekonstruere data fra harddisker som har ligget på havets dyp i flere uker. Nå er mye av jobben deres å hjelpe advokater med å rekonstruere dokumenters historier.
Det er ikke bare mailboksen din som avslører deg. En hver datafil, enten det er et bilde, et tekstdokument eller en PDF, inneholder en rekke metadata. Det vil si at dersom du printer ut, åpner eller videresender for eksempel et word-dokument, legger det igjen spor på datamaskinen din. Etterforskere kan da bevise at du har sendt dokumentet til en konkurrerende aktør, eller lagret det på en minnepinne du har fått utlevert av bedriften.
Ibas jobber nå stadig oftere sammen med advokater som har fått i oppdrag å avdekke at tidligere ansatte har stjålet med seg bedriftssensitiv informasjon med hensikt å for eksempel starte konkurrerende virksomhet. Eller de bistår i saker der det er mistanke om konkurransesamarbeid. Ibas har vært kjent for å trylle med mobiltelefoner eller datamaskiner som tilsynelatende var ødelagt. Nå er hovedfokuset informasjon som finnes lagret i datamaskiner og servere, men som er skjult mellom all annen informasjon. I Troms Kraft-saken klarte Ibas å smalne ned antall dokumenter advokatene måtte gå gjennom, fra fire terrabyte til 340 gigabyte (1,55 millioner dokumenter). Et ytterligere søk smalnet arbeider ytterligere ned, slik at advokatene «bare» måtte gå gjennom 550.000 dokumenter.
Kamp mot klokka
I Sverige er Ibas mye brukt av politiet til å rekonstruere data fra mobiltelefoner. I Knutby-saken ble sms’er viktige bevis, og i en voldtekstssak ble nylig en ung mann frikjent i en høyere rettsinstans etter at Ibas klarte å rekonstruere en video som tiltalte hele tiden mente han hadde tatt, men som politiet ikke klarte å rekonstruere.
Selv om data er slettet fra mobil eller datamaskin, betyr ikke det nødvendigvis at det er umulig å rekonstruere dem. Data er ofte ikke tapt før annen informasjon har overskrevet den informasjonen som er slettet. Er noe overskrevet, så kan det være mulig å rekonstruere deler dokumentet som ikke er overskrevet. Også bilder kan rekonstrueres selv om noe er overskrevet, men dette er vanskeligere å få til. Vanskelig er det også å rekonstruere data dersom de er kryptert. Da må man først rekonstruere krypteringsnøkkelen. Teknologisk er det en utfordring at produkter blir stadig sikrere. En ny Iphone som gjenopprettes til fabrikkinnstillinger har så komplisert krypteringsteknologi at det foreløpig ikke er mulig å rekonstruere. At datamaskiner får stadig større lagringskapasitet (disk) hjelper lite, for det er stadig større datamengde som går gjennom maskinene, og slettede filer overskrives.
Mange spor å finne
Når de to «etterforskningsgutta» på Ibas setter i gang, er det utrolig hvor mye de kan finne ut. I retten kan de forklare seg om gyldigheten av en e-post, eller om livsløpet til et dokument. Mye handler om å samle elektronisk dokumentasjon. Advokater kontakter dem gjerne når en oppdragsgiver mistenker en ansatt for å ha kjørt et dobbeltløp for å starte opp konkurrerende virksomhet. Da går Ibas inn, speilkopierer harddisken til den ansatte, og analyserer mailutveksling og dokumentlivsløp. Personopplysningsloven krever at den ansatte varsles, men få benytter seg av anledningen til å være til stede når dataene gjennomgås.
– Vi foretrekker å jobbe etter en samtykkeerklæring fra den ansatte. Det er bare unntaksvis de vil være til stede, og de få gangene de ønsker det, er det egentlig få konflikter rundt situasjonen, sier Bjørn Krok i Ibas.
I en god del av sakene har ledelsen eller advokatene gjort noen undersøkelser selv – før de har kontaktet Ibas. Dette kan ødelegge informasjon, for det er lett at informasjon blir borte eller endrer seg. Derfor speilkopierer Ibas harddisken for å være sikker på at deres egne undersøkelser ikke ødelegger beviser i på den originale maskinen.
Dawn raids
Ibas bistår også selskaper som har hatt dawn raids og som ønsker en gransking av de samme dataene som myndighetene har tatt med seg. De bistår også selskaper der myndighetene har bedt dem om å utlevere en spesiell type informasjon. Noen selskaper har også bedt om at Ibas kommer og gjennomfører en dawn raid som en øvelse – for å være forberedt dersom myndighetene kommer på døra.
Ofte er det snakk om en stor mengde harddisker, servere, maskiner og telefoner som er gjenstand for en undersøkelse. Da gjør man en grovanalyse av mailutveksling og lagrede data, for så å rekonstruere slettede data på maskinene til det man regner som hovedpersonene for granskningen. Viktige data kan også ligge på gamle datamaskiner og backup.
- Men, har man onde hensikter, så bruker man vel ikke bedriftens mailsystem? Da sender man vel informasjonen via gmail eller hotmail?
- Det stemmer, men selv om man bruker gmail, kan dokumenter man har åpnet der, ligge som kopi på datamaskinen, sier Krok.
Viktige beviser
Ibas i Sverige jobber mer for politiet, enn hva Ibas i Norge gjør. Ikke fordi det norske Ibas har dårligere kompetanse, men fordi det norske politiet selv er flinke – også i å sikre og analysere informasjon fra mobiltelefoner, noe Ibas har hjulpet det svenske politiet med. Norsk politi ber Ibas om hjelp til å rekonstruere etter fysiske skader på lagringsmedier.
Krok har mye erfaring som sakkyndig vitne i retten, og opplever at det kan være vanskelig å forklare dataanalysene for dommerne. Særlig i omfattende saker, som skatteunndragelser fra butikker.
– Det er også vanskelig å skjønne at bevis kan ha eksistert selv om vi ikke klarer å rekonstruere det. Dommerne tror ofte at dersom bevis ikke finnes eller kan rekonstrueres, har det aldri eksistert. Det er en feilkonklusjon. Noen har en forventning om at alt som er gjort på en PC kan spores, og alt som er ødelagt kan rekonstrueres. Sannheten er at en del ikke logges selv om brukeren ikke prøver å skjule det, sier Krok.
e-Discovery
Krok demonstrerer villig hvordan advokater i store granskingssaker kan gå gjennom enorme datamengder og selv analysere for eksempel mailutvekslingen. Ibas kommer inn og speilkopierer harddiskene uten å slå på datamaskinene det gjelder (selv det å slå på maskinen setter spor og kan overskrive informasjon), de tar med seg speilkopiene til Kongsvinger og gjør en grovsortering for å komme ned til de interessante dataene. Disse dokumentene og mailene kan advokatteamet gå gjennom fra sin egen nettleser, merke av de dokumentene som er interessante, og analysere kommunikasjonen. En grafisk presentasjon av e-postutveksling viser hvem som har snakket sammen når, og mailene kan lett hentes frem.
– Hva er det dere ikke klarer å finne?
– Et stort problem er når bedriften tillater at folk tar med seg egne mobiler, nettbrett og datamaskiner på jobb. Disse har vi ikke rett til å se på uten en rettskjennelse. I enkelte tilfeller har man brukt sletteprogram. Noen av disse programmene er gode, men bare det at vi kan bevise at det er blitt brukt et slikt program, kan være viktig i saken. Ellers kan krypterte databærere eller helt nye mobiler være en utfordring, sier Krok.
– Og, hvor dyrt er det å bruke dere?
– En PC som skal analyseres kan koste mellom 10 og 30 tusen, det samme gjelder analyse av en e-postserver. Vi jobber etter timepris, og kan også ta mindre saker. Som om en advokat lurer på gyldigheten av en e-post, om man vil vite når et avtalerettslig dokument er opprettet, eller en strafferettsadvokat vil ha en second opinion på en analyse politiet har gjort. e-Discovery kan også brukes i selskaper man skal gjøre due dilligence for, for eksempel om man skal kjøpe opp et utenlandsk firma og lurer på om det har pågått korrupsjon der, sier Krok.
IBAS hjelper til i store granskningssaker, men kan også bistå dersom en advokat lurer på gyldigheten av en e-post, om man vil vite når et avtalerettslig dokument er opprettet, eller en strafferettsadvokat vil ha en second opinion på en analyse politiet har gjort.
