Dataetterforskning – en ungdom med voksesmerter

Av:

Nina Sunde, politioverbetjent ved Politihøgskolen og doktorgradsstipendiat ved Universitetet i Oslo .

Ulf Bergum, politioverbetjent ved Politihøgskolen og doktorgradsstipendiat ved Canterbury Christ Church University.

Foto:

Ulf Bergum, politioverbetjent ved Politihøgskolen og doktorgradsstipendiat ved Canterbury Christ Church University.

Behov for definerte roller og krav til kompetanse

Oslo Politidistrikt fikk i 2015 ansvar for tiltak 8 i Justis- og beredskapsdepartementets strategi for å bekjempe IKT kriminalitet (Justis- og beredskapsdepartementet, 2015). Tiltaket gikk ut på å etablere et pilotprosjekt for å se på «hvordan politiet kan utvikle sine oppgaver i et bredt spekter når det gjelder etterforskning og forebygging av IKT-kriminalitet som ikke faller inn under et nasjonalt senter» (s.20).

Etter endt pilotprosjekt anbefalte Oslo Politidistrikt blant annet etablering av fagkontakter, og rollen ble beskrevet slik: «Fagkontakter er personell som til daglig jobber med tradisjonelt politiarbeid, men som har ekstra digital kompetanse. De blir ambassadører for bruk av teknologi i oppgaveløsningen. Dette gjelder både for beredskap, etterretning, forebygging og etterforskning» (Oslo Politidistrikt, 2018 s. 7). De anbefalte også at fagkontaktene tok studiet NCFI Module 1 Core Concepts for å ha tilstrekkelig kompetanse.

NCFI Module 1 Core Concepts (Politihøgskolen, 2017) er et studium som ble utviklet med tanke på fagkontaktenes kompetansebehov, for å kunne gjennomføre enkle sikringer og analyser av databeslag. Det dekker imidlertid ikke dataetterforskers behov for kompetanse til mer avanserte datatekniske undersøkelser.

I flere politidistrikt etableres når fagkontakter i tråd med anbefalingene fra Oslo Politidistrikt. I de nylig vedtatte rolledefinisjonene med tilhørende kompetansekrav (Politidirektoratet, 2019) har det imidlertid skjedd noe underlig. Fagkontakt er ikke definert som en egen rolle, og har dermed ikke fått definert noen kompetansekrav. Dataetterforsker – som kompetansemessig er på nivået over det fagkontakten bør være, er definert som rolle, og har fått NCFI Module 1 Core Concepts som kompetansekrav – som altså i sin tid ble anbefalt for fagkontakter. Vi mener at dette ikke er et kompetansenivå som setter dataetterforsker i stand til å gjennomføre forsvarlige datatekniske undersøkelser i straffesaker, og at kravet må heves til NCFI Module 2.

Utviklingen av dataetterforskning

Dataetterforskning regnes som et av de yngste tilskuddene til de kriminaltekniske grenene (eng: forensic science). Sikring og analyse av digitale spor startet på 80- og 90-tallet som en oppgave utført av politi med en særlig interesse for data, og hvor datakunnskapene ofte var selvlærte. Kommersielle selskaper kom raskt på banen med verktøy som kunne hjelpe politiet til å finne bevis, og presentere disse i rapporter. Verktøyene krevde lite teknologisk kunnskap og fungerte som en sort boks – dataetterforsker kunne se input og output – men hadde lite kontroll over hva som skjedde imellom. Dataetterforskers rolle var gjerne å finne ulike typer innhold, f.eks. bilder, dokumenter eller e-post, og utfordringene besto stort sett i at det tok lang tid å gjennomføre de ulike søkene etter informasjon.

Så begynte imidlertid nye utfordringer å tårne opp. Det ble utviklet enormt mange ulike filsystemer og formater, omfanget av data i hver sak økte, kryptering ble allemannseie, «alle» tok i bruk sosiale medier og stadig mer data ble lagret i skyen. Dataetterforskers jobb handlet ikke lenger om kun å finne informasjon, men i langt større grad også om å identifisere kontekstuell informasjon som f.eks. tidsstempler, fysiske og logiske lokasjoner for dataene, eierskap osv. Verktøyene ble mer avanserte for å kunne møte de nye utfordringene. Parallelt med dette ble fagmiljøet styrket gjennom forskning og profesjonalisering. Fra tidligere å kun lære om verktøyer, kunne fagmiljøet nå utdanne seg til en bredere forståelse av metodikk og teknologiske trender. Evnen til sporoppdagelse økte.

I de senere år har kompleksiteten blitt enorm, med svært mange ulike teknologier og systemer, og mange muligheter til å gjemme eller hindre tilgang til informasjon. Sorte bokser som finner bevisene for oss er fortsatt i bruk, men er ofte ikke lengre tilstrekkelige. For å ivareta viktige rettssikkerhetsprinsipper, er det nødvendig å ha et kritisk blikk på hva disse verktøyene produserer. Evnen til kritisk tenkning fordrer en dypere teknologi- og metodeforståelse ut over å lære å bruke et verktøy. Dataetterforskere må nå ha nødvendig kunnskap til å kunne utvikle og tilpasse metoder og verktøy for å få tilgang til de aktuelle digitale spor og bevis. Fra å kunne klare seg med «teknolog – generalisten» er det nå behov for spesialisert kunnskap innen en rekke områder – f.eks. nettverksteknologi, databaser, Internet of Things, filsystemer etc.

Som følge av dette er behovet for teknologisk kompetanse blitt tydeligere. Politihøgskolen har utviklet en stor portefølje med utdanninger for å svare på dette behovet, og samarbeider med NTNU om en masterutdanning som har dataetterforskere i politiet som målgruppe. Innslaget av sivilt utdannede teknologer i politiet har også økt kraftig de senere år.

Desentralisering uten krav til kompetanse

På samme tid har også etterspørselen etter digitale spor og bevis økt. Den utstrakte bruken av teknologi i dagens samfunn, gir politiet mange nye sporsteder. Digitale spor og bevis er relevante i nær sagt alle kriminalitetstyper. Men dataetterforskerne er få, og klarer ikke å ta unna etterspørselen. I internasjonal forskningslitteratur pekes det på en ny trend som er i anmarsj for å møte den økte etterspørselen, nemlig desentralisering. Personell med begrenset teknologisk kunnskap gjennomfører sikring og analyse av digitale enheter. Denne trenden ser vi også i norsk politi, gjennom etableringen av de nevnte fagkontaktene. De skal gjennomføre enkle sikrings- og analyseoppgaver for å imøtegå den økte etterspørselen etter digitale spor og bevis i etterforskningen.

Men, desentraliseringstrenden har også fått noen røde varsellamper til å tennes innenfor det internasjonale dataetterforskningsmiljøet. I en artikkel fra februar d.a. skriver professor Eoghan Casey at personell med begrenset teknologisk kunnskap kan være ukjent med svakhetene i ulike metoder og verktøy, noe som både kan lede til feiltolkning av dataene eller at viktige bevis ikke blir funnet. En nylig avsagt frifinnelse i lagmannsretten for sovevoldtekt er et eksempel på nettopp dette: https://www.vg.no/nyheter/innenriks/i/MglJyM/frifunnet-for-sovevoldtekt-etter-funn-av-slettede-meldinger. Teknologisk kompetanse er et viktig forebyggende tiltak mot feil. Det er derfor bekymringsfullt at POD ikke har definert fagkontaktene som en egen rolle med tilhørende kompetansekrav.

Casey understreker at det er behov for å tenke nytt om kvalitet og kompetanse i dataetterforskning, og oppsummerer med en nokså treffende analogi:

«Like an adolescent with boundless energy and limited experience, digital forensics faces many risks as it matures. Careful nurturing is needed to guide digital forensics through these risks so it can fully reach its potential” (Casey, 2019 s. 5). Han oppfordrer til å utvikle dataetterforskning i mer vitenskapelig retning, for å sikre at vi bruker metoder og verktøy som ivaretar vitenskapelige prinsipper som repeterbarhet, objektivitet og pålitelighet.

Så er det kanskje på tide og stoppe opp og tenke seg om. Hvordan havnet vi der vi er i dag, og hvor er vi på vei? Er vi tjent med å satse på effektivitet framfor kvalitet når de viktige databevisene skal sikres og analyseres?

Politihøgskolen har en portefølje av utdanninger som inngår i kompetansekrav i land som Danmark, Sverige og Island, og som inngår i den nevnte masterutdanningen ved NTNU. Vi mener at effektivitetshensynet ikke må fortrenge kravet til kvalitet, og at norsk politi er tjent med kompetansekrav på alle nivå som skal gjennomføre sikring og analyser av digitale bevis; altså generalisten, fagkontakten, dataetterforskeren og dataetterforskningsspesialist. Disse kravene må stå i forhold til de kunnskapene og ferdighetene som kreves for en forsvarlig behandling i tråd med kravene til kvalitet og rettssikkerhet.

Referanser:

Casey, E. (2019). The chequered past and risky future of digital forensics. Australian Journal of Forensic Sciences, 1-16.

Justis og beredskapsdepartementet (2015). Justis- og beredskapsdepartementets strategi for å bekjempe IKT-kriminalitet.

Oslo Politidistrikt (2018). Digitalt Politiarbeid, Anbefaling (18.04.18)

Politidirektoratet (2019). Nasjonale rolledefinisjoner med kompetansekrav for etterforskningsfeltet.

Politihøgskolen (2017). POSTGRADUATE EDUCATION FOR NORDIC COMPUTER FORENSIC INVESTIGATORS. Module 1: Core Concepts in Digital Investigation & Forensics. 15 ECTS. Hentet fra: https://www.phs.no/Global/Curriculum_CC_core%20concepts_approved%20by%20the%20board%20_6.12.17.pdf?epslanguage=en