Forensiikka - SecMeter

Sisältöön

Forensiikka

Yritysturvallisuus > Compliance
Sana forensic tulee latinasta ja tarkoitti ennen foorumia. Nykyisin sana tarkoittaa rikosteknistä tutkimusta.

Tietoturvallisuuden piirissä sähköisen todistusaineiston keräämistä oikeudellisia toimenpiteitä varten kutsutaan forensic–prosessiksi.

Forensiikkaa tarvitaan tilanteissa, joissa tehdään väärinkäytösepäilyihin liittyviä sisäisiä selvityksiä tai suoritetaan tietojärjestelmien tallentamien sähköisten todisteiden keruuta.

Forensic-prosessin järjestelyt ovat osa yrityksen väärinkäytöksiin liittyvää riskienhallinnan osa-aluetta.

Tietotekniikkarikosepäilyissä tulee ottaa yhteys paikalliseen poliisiin. Mahdollisen epäillyn nimeä ei tule julkistaa, koska nimen julkistaminen ei ole välttämätöntä rikoksen selvittämiseksi. "Rikoksesta epäillyn nimeä ei olisi saanut antaa julkisuuteen esitutkintaa koskevan tiedottamisen yhteydessä, koska se ei ollut välttämätöntä rikoksen selvittämiseksi, epäillyn kiinni saamiseksi tai muustakaan erityisen painavasta syystä. (AOK 333/1/93/9.3.1994)"

Keskusrikospoliisin tehtävänä on mm. esitutkintaan liittyvien asiantuntijapalveluiden tuottaminen poliisille. Keskusrikospoliisin Rikosteknisen laboratorion digitaalisen todistusaineiston ryhmä tekee vaativaa tietoteknistä tutkintaa, joka käsittää mm. tiedon esille hakua ja analysointia erilaisista elektronisista laitteista sekä tiedon palautusta rikkoutuneilta kiintolevyiltä ja muista tallennuslaitteista.

Tulostimet
Useimmat uudet tulostimet tulostavat asiakirjaan lähes näkymättömiä keltaisia pisteitä mm. tulostimen sarjanumeron tai muita rikosteknisiä merkintöjä, joiden avulla on mahdollista jäljittää tarkasti milloin ja missä kyseinen asiakirja on tulostettu. Esimerkiksi NSA kirjaa kaikki tulostustyöt sen omiin tulostimiin, jolloin se voi jäljittää mm. yksittäisen asiakirjan tulostajan tai tietovuotajan.

Tietokoneen kiintolevyä kopioitaessa tietojen tulee säilyä eheinä (esimerkiksi tiedon tallentamisajankohta)

  • Eheyden säilyttämiseksi kiintolevyn tiedot on kopioitava optisille tallenteille datan siirtämiseksi forensiikkalaitteelle. Kopiointi voi kestää tunneista useisiin päiviin.
  • Tietokoneen tallenteista valmistetut kopiot rinnastetaan alkuperäisiin tallenteisiin.
  • Tallenteen kopion kohdalla on myös kyseessä pakkokeinolain mukainen takavarikko.
  • Etsintäpaikalla (yrityksessä) tapahtuva paperiasiakirjojen valokopiointi ja digitaalisten kopioiden valmistaminen on takavarikointia, jos tarkoituksena on viedä alkuperäinen asiakirja tai sen kopio pois etsintäpaikalta (yrityksestä).
  • Jutun tutkinnanjohtajan määräämää kotietsintää ei voida estää tai keskeyttää.

Takavarikoidulle esitutkinta-aineistolle tulee vaatia luovutuskieltoa liikesalaisuuteen vedoten

  • "Esitutkintaa varten takavarikoitu henkilökohtainen aineisto, esimerkiksi tietokoneen kovalevyn sisältämät asiakirjat ovat julkisia samoin perustein kuin muukin esitutkinta-aineisto. Luovutuspäätöstä pohdittaessa on kuitenkin arvioitava, sisältääkö aineisto esimerkiksi liikesalaisuuden nojalla salaista tietoa. (EOA 1240/2001)"
  • "Oikeudessa käsitelty esitutkintamateriaali on julkinen. Poliisipäälliköllä ei ollut perusteita hylätä pyyntöä saada tutustua oikeudessa käsiteltyyn esitutkintamateriaaliin. (Turun HAO 02127/00/5300)"

Toiminta epäilyn selvitysvaiheessa

  • Toimitaan viipymättä ja edetään suunnitelmallisesti.
  • Tieto tapahtuneesta pidetään vain selvitykseen osallistuvien piirissä.
  • Epäiltyä/epäiltyjä ei nimetä, moitita tai syytetä.
  • Selvitetään onko kyseessä ollut yksittäinen tai jatkuva teko.
  • Rikoksen tekovälineenä käytetty tietokone tulee eristää käyttäjistä ja verkosta, mutta tietokone on pyrittävä pitämään käynnissä muistin rikosjälkitutkimusta varten.
  • Aktivoidaan tarvittaessa teknisten tiedonkeruujärjestelmien jäljitysominaisuudet.
  • Selvitetään teosta/teoista aiheutuneen/aiheutuvan vahingon laajuus.
  • Dokumentoidaan omat toimenpiteet (yhteydenotot, niihin liittyvät asiat kuten toimenpidepyynnöt, kellonajat ja päivämäärät).
  • Varmistutaan alkuperäisen tapahtumakirjanpidon muuttumattomuudesta todistusaineistoa kerättäessä, siirrettäessä ja säilytettäessä.
  • Kerätään kaikki tekoon liittyvät tiedot (muistiot, tapahtumatiedot ym.) kansioon.
  • Kirjataan toimenpiteisiin käytetty työaika henkilöittäin vaihe vaiheelta.

Toiminta ratkaisuvaiheessa

  • Suljetaan pois aiheettoman epäilyn mahdollisuus.
  • Arvioidaan onko kyseessä rikos (rikoslain mukainen).
  • Päätetään tehdäänkö asiasta tutkintapyyntö poliisille.
  • Arvioidaan onko teosta työsopimuslain mukaisia sisäisiä seuraamuksia.
  • Päätetään sisäisistä seuraamuksista.

Todisteluvaiheen valmistelu

  • Selvitetään epäillyn toimenkuva.
  • Kootaan epäillyn allekirjoittamat salassapitosopimukset.
  • Kootaan tiedot epäillyn saamasta tietoturvakoulutuksesta.
  • Laaditaan luettelo yrityksen antamasta ohjeistuksesta.
  • Kuvataan epäillyn lailliset käyttövaltuudet.
  • Kuvataan kuinka laillisia käyttövaltuuksia on rikottu.
  • Kuvataan todistusaineiston keräys, siirtäminen ja säilytys.
  • Lasketaan korjaus- ja selvittelyvaiheen toimenpidekustannukset.
  • Määritellään kokonaisvahinko (tiedon arvo hankala näyttää toteen).

Tapahtumakirjaukseen liitettävät tiedot
Tapahtumakirjauksen tietojen perusteella on kyettävä vastaamaan kohdejärjestelmälähtöisesti seuraaviin kysymyksiin:

  • Ketkä käyttäjät ovat kirjautuneet onnistuneesti valittuun kohdejärjestelmään tietyllä aikavälillä?
  • Ketkä käyttäjät ovat suorittaneet epäonnistuneita kirjautumisyrityksiä valittuun kohdejärjestelmään tietyllä aikavälillä?
  • Minä päivänä ja kellonaikana kukin käyttäjä on kirjautunut valittuun kohdejärjestelmään sisään ja ulos?
  • Mitä operaatioita käyttäjät ovat valitussa kohdejärjestelmässä suorittaneet (luku, tulostus, muutos = poisto, kirjoitus, lisäys) tietyllä aikavälillä?

Yllä esitetyt kysymykset liittyvät epäillyn käyttäjäjoukon rajaukseen. Esitettyihin kysymyksiin tulee saada vastaukset myös käyttäjälähtöisesti:

  • Mihin järjestelmiin tietty käyttäjä on kirjautunut onnistuneesti tietyllä aikavälillä?
  • Mihin järjestelmiin tietty käyttäjä on kirjautunut epäonnistuneesti tietyllä aikavälillä?
  • Minä päivänä ja kellonaikana tietty käyttäjä on kirjautunut eri kohdejärjestelmiin sisään ja ulos?
  • Mitä operaatioita tietty käyttäjä on kohdejärjestelmissä suorittanut (luku, tulostus, muutos = poisto, kirjoitus, lisäys) tietyllä aikavälillä?

Haavoittuvuusskannereita

  • Nessus
  • Saint (Satan)
  • Sara

Forensiikkaohjelmia (NFAT Network Forensics Analysis Tools)

  • EnCase Forensic (Yhdysvallat)
  • X-Ways Forensics (Saksa)

Tietoliikenteen analysointiohjelmia

  • NetIntercept (tietoliikenteen tallennus ja reaaliaikaiseen seuranta)
  • NetContExt (verkkoliikenteen tallennus- ja analysointi)

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön