Husk at sikre beviser ved cyberangreb

Afskærmningstape, sterile dragter og politiets teknikere, der tjekker for fingeraftryk og indsamler DNA – vi har alle set filmene. Det er sådan de fleste tænker, hvis man får at vide, at man skal sikre beviser efter en forbrydelse.

Men hvad gør man, når forbrydelsen er et cyberangreb, og bevismaterialet er i dataform? – Det vil ny kampagne fra Styrelsen for Samfundssikkerhed og Politiets Nationale Enhed for Særlig Kriminalitet sætte fokus på.

Hvis uheldet er ude, og virksomheden rammes af et cyberangreb, er det vigtigt, at man hurtigt sikrer relevante data. Det er nødvendigt for at lokalisere sårbarheder i IT-infrastrukturen for at sikre den mest optimale genopretning af virksomhedens IT-systemer. Derudover giver man politiet de bedste forudsætninger for efterforskningen af de cyberkriminelle.

Hvilke data skal sikres?

Til efterforskningen kan der være behov for:

• Sikring af logs fra f.eks. firewalls eller netværksudstyr og kopier af konkret IT-udstyr.
• At undersøge ramte systemer, computere og servere, da der kan være vigtige spor i fx RAM (computerens arbejdshukommelse).

Det er vigtigt, at man sikre de digitale beviser så hurtigt som muligt, og inden at man slukker sit IT-udstyr. Derudover skal man undgå at arbejde videre med den berørte data.

To-do-liste for sikring af data

Ved sikring af potentielle beviser bør man følge nedenstående fremgangsmåde – kilde: Sikkerdigital.dk. Man kan enten selv stå for data-sikringen eller alliere sig med et IT-sikkerhedsfirma.

• Data sikres hurtigst muligt, så det ikke går tabt. Husk at sikre en kopi af systemet, inden man fortsætter behandlingen af data, da der ellers er risiko for, at man kompromitterer potentielle beviser.
• Alle datasæt tildeles et ID-nummer, så politiet kan identificere, hvor data stammer fra.
• Der anvendes anerkendte datasikringsformater(fx E01, AFF4, L01 eller åbne formater som fx DD, DMG, KAPE og JSON), så data kan anvendes i politiets forensic-værktøjer.
• Der foretages en hash-beregning(fx MD5 eller SHA1) pr. sikret datasæt. Dette skal sikre, at data er intakt fra sikringstidspunktet og ved senere undersøgelser.
• Der anvendes ubrugte eller wipede modtagermedier til datasikringen. På den måde risikerer data ikke at blive kontamineret med anden data.
• I forbindelse med datasikringen anbefales det at dokumentere en række forhold. Til dette kan man bruge skabelonen via linket nedenfor. Beskriv gerne, hvorfor de sikrede data kan bidrage til at bevise hændelsesforløbet, og hvem der har foretaget sikringen.

Skabelonen kan hentes her.

Politiets First Response Team kan vejlede i en sikker overførsel af de sikrede data til politiets efterforskning. Ring 114 og bliv viderestillet til teamet.