Hoe forensic ready is jouw organisatie?

Vrijwel iedere pleger van een strafbaar feit laat tegenwoordig digitale sporen achter. Op mobiele telefoons, laptops, servers, routers, etc. Maar ook in de cloud. Dat is fijn, want op het moment dat er iets gebeurt kunnen die sporen worden geanalyseerd en kunnen deze sporen als (mogelijk) bewijs worden gebruikt. Tenminste, als die sporen ook op de juiste manier worden bewaard.

Een term die je hierbij vaak hoort is ‘forensic readiness’. Als je organisatie ‘forensic ready’ is, wil dat zeggen dat de technische en fysieke infrastructuur goed is voorbereid op een digitaal forensisch onderzoek. Zo’n onderzoek, waarbij binnen de systemen wordt onderzocht welke activiteiten door wie zijn uitgevoerd, kan zoals aangegeven, volgen op een hack of cyberaanval, maar kan ook worden uitgevoerd bij fraude, het lekken van bedrijfsgeheimen of (pogingen tot) sabotage.

Bij een organisatie die forensic ready is, is er dus voldoende onderzoeksmateriaal beschikbaar om na te gaan wie, wanneer en op welke manier toegang heeft gehad tot belangrijke systemen en gegevens. In de praktijk blijkt echter nog te vaak dat dit onderzoeksmateriaal niet (meer) beschikbaar is. Grofweg zijn hiervoor twee oorzaken te noemen:

  1. Er worden (al dan niet uit kostenoverwegingen) geen of onvoldoende loggegevens bijgehouden. De loggegevens worden daarbij niet lang genoeg bewaard. maar vaak ook omdat de standaard logbestandgrootte te klein is of de standaard bewaartermijnen te kort zijn. In een organisatie die forensic ready is, is het mogelijk om in veel gevallen een aantal maanden terug te kunnen kijken.
  2. In de logbestanden worden niet de juiste gegevens opgeslagen. Zo komt het bijvoorbeeld regelmatig voor dat er alleen interne, vaak algemene gegevens, worden vastgelegd in specifieke logbestanden. Belangrijke informatie, zoals bijvoorbeeld een extern IP-adres van iemand die op een systeem heeft ingelogd, blijkt dan niet te worden opgeslagen.

Naast logging is het ook belangrijk om goede protocollen en procedures te hebben die betrekking hebben op de IT-omgeving. Je moet dan bijvoorbeeld denken aan zaken als de beschikbaarheid van IT-medewerkers in het geval van incidenten. Maar ook het hebben van een goed wachtwoordbeleid kan van invloed zijn op de conclusies die getrokken kunnen worden tijdens bijvoorbeeld een toedrachtsonderzoek. Het gevolg hiervan is dat een degelijk forensisch onderzoek in het ergste geval niet mogelijk is óf veel langer duurt en daarmee veel kostbaarder wordt.

Hoe word je forensic ready?

Het antwoord op die vraag verschilt per organisatie. Maar als je ergens wilt beginnen, begin dan met het op orde krijgen van je logging. Met een goede logging is het eenvoudiger achterhalen welke weg gegevens hebben afgelegd en wie er – zowel fysiek als digitaal – toegang tot die gegevens hebben gehad. Ga dus eens na:

  • Hoelang jullie de beelden van de beveiligingscamera’s bewaren. Het is niet verstandig deze beelden iedere dag te wissen.
  • Hoelang jullie de gegevens van het toegangssysteem bewaren. In de praktijk komen we nog wel eens tegen dat deze gegevens twee keer per dag worden gewist, ook geen goed idee.
  • Of en zo ja, hoe en hoelang jullie e-mailgegevens archiveren en back-uppen.
  • Hoelang verkeersgegevens van het internetgebruik beschikbaar blijven.
  • Of is vast te stellen welke gebruiker zich op welk moment in welk systeem heeft aangemeld.

Ook kan het goed zijn om je collega’s en het management te laten voorlichten over (het belang van) forensic readiness. Wij hebben vanuit Hoffmann hier een workshop voor ontwikkeld.

Ter afsluiting

Als je organisatie forensic ready is, voorkom je uiteraard niet dat jullie het slachtoffer worden van een strafbaar feit. Wel is de organisatie dan klaar voor een gedegen forensisch digitaal onderzoek. Daarmee vergroot je de kans op een succesvol onderzoek en dus ook de pakkans van een dader.

Bovendien vergroot dit ook jullie eigen inzicht in de omvang van het incident, waardoor de organisatie adequate vervolgstappen kan zetten. Stel nu dat er sprake is van een hack. Als de organisatie forensic ready is, kunnen de forensisch onderzoekers snel vaststellen wat de omvang is van de inbreuk. Daardoor weten jullie ook tijdig of het bijvoorbeeld nodig is om een melding aan de Autoriteit Persoonsgegevens te doen. Uit kostenoverwegingen afzien van goede logging – hetgeen we in de praktijk helaas nog te vaak tegenkomen – is dus om meerdere redenen een slecht idee!

Geschreven door Mo Ballari, senior consultant Cybersecurity & Risk management

Lees ook:

Gerelateerde berichten...

X