Vad är IT-forensik och hur arbetar IT-forensikern?

IT-forensiker kan liknas vid IT-världens kriminaltekniker. Digital forensik avser vetenskapen om hur digitala bevis tas fram, hanteras och analyseras. En viktig pusselbit i SRS säkerhetsarbete.

Begreppet forensik kopplas i regel ihop med kriminaltekniska platsundersökningar. I begynnelsen härstammar det från Rom i Italien och översätts från latin till “torg”, vilket utgjorde platsen där bevisningen från utredningar presenterades och offentliga rättegångar hölls. Skillnaden är att digital forensik främst involverar bevisinsamling från enheter såsom datorer, mobiler och servrar. Istället för fingeravtryck och fysiska bevis analyseras digitala avtryck, här ingår IP-adresser, loggar, användaraktivitet och filer.

Återskapar raderade filer 

Det finns skäl att vara extra försiktig när du hanterar känslig information och data på din personliga enhet. Mer information än vi tror sparas nämligen på våra enheter. När exempelvis ett dokument raderas försvinner enbart pekaren till den plats filen låg på. Det är inte förrän filplatsen skrivits över på nytt som informationsspåret börjar försvinna.

IT-forensikern utvinner den här typen av “dold” information. Vid forensiska utredningar karvas hårddisken ifråga bit för bit – vilket gör man kan få fram artefakter, inte enbart från kända filstrukturer utan även från oallokerat utrymme och korrupta diskar. Därmed kan även dokument som du raderade för flera år sedan återskapas.

 IT-forensiker – en del SRS Security

Experter på forensik kallas forensiker. Deras uppdrag går ut på att, på ett rättssäkert sätt, ta fram tekniskt bevisunderlag om att något har inträffat. Bevis som sedan kan komma att prövas i domstol. Forensiker besitter djup teknisk kunskap, är problemlösare och har en god analytisk förmåga. Inom SRS erbjudande som säkerhetsbolag ingår IT-forensiker.

SRS forensiker kan bland annat bistå med:

  • Incidentutredning & nätverksforensik vid misstanke om t.ex. intrång eller skadlig programvara.
  • Internutredningar vid misstanke om illojalitet mot arbetsgivare och oegentliga handlingar.

SRS har en gedigen verktygslåda för avancerad IT-forensik – primärt används Magnet AXIOM Cyber – Magnet Forensics som möjliggör molnbaserade analyser och remote-inhämtningar, men även FTK och SANS DFIRs SIFT miljö används. SRS kan utföra forensik i exempelvis följande IT-miljöer:

  • Datorer – Windows och Mac
  • Mobiler – Android- och iOS-telefoner
  • Remote inhämtning av Windows och Mac datorer
  • Molntjänster 
    • Kommunikationsplattformar: Microsoft Teams, Slack, Zoom
    • Molnlagringsplattformar och tjänster: Office 365, Sharepoint, Azure, AWS, G Suit, Box

Möt SRS IT-forensiker Madeleine Serenhov

Madeleine Serenhov innehar rollen som Cyberoperations Manager och IT-forensiker på SRS Security. Med ett starkt intresse för datorkriminologi har Madeleine en bakgrund att under flera års tid arbeta i angränsande områden med fokus på intrångsdetektering. När hon anslöt till SRS fick hon möjligheten att fördjupa sig i och vidareutveckla sina kunskaper inom IT-forensik.

Madeleine certifierade sig till Forensic Examiner och intog därefter en ledande roll i utvecklingen av SRS IT-forensiska tjänster. Något som bidragit starkt till att SRS under det senaste året flyttat fram positionerna på den IT-forensiska marknaden. Ett område vi bedömer kommer fortsätta öka i relevans i och med digitala avtrycks betydelse i utredningar.

Vem eller vilka på SRS Security samarbetar du främst med som it-forensiker?

Då SRS arbetar med utredningar i många olika former är det naturligt att vi som IT-forensiker samarbetar med våra kollegor på andra områden, framförallt inom Intelligence och Investigations. Ett IT-forensiskt uppdrag kommer oftast tillsammans med djupare bakgrundskontroller, företagskontroller och även Human Intelligence som bygger på personbaserad underrättelseinhämtning, i kontrast till teknisk inhämtning. Denna heltäckande interna kompetens är en unik styrka och gör att vi har möjlighet att tackla ett uppdrag från flera olika håll och därmed stärka bevisning.

Hur ser en vanlig arbetsdag ut för en IT-forensiker?

Ett uppdrag börjar med att säkra bevis från digital media, det kan t.ex vara en dator, mobil eller en molnmiljö. En identisk kopia skapas av median som sedan används för vidare analys där det gäller att lägga pusslet och antingen bekräfta eller avskriva en misstanke genom att identifiera och analysera relevanta artefakter. 

Vilka är de mest spännande fall du arbetat med och varför?

Jag kan tyvärr inte gå in i detalj på något specifikt case men generellt blir de mest spännande uppdragen där man varit med från början till slut av en utredning. T.ex. från att första hårddisken extraherats med en svag misstanke om oegentligheter, till att utifrån identifierad bevisning och starka misstankar att fler enheter beslagtas och utredningen tas vidare rättsligt.

Vad är det bästa med att arbeta som IT-forensiker på SRS Security?

SRS ser värdet i att tillhandahålla bästa möjliga förutsättningar för en utredning vilket gör att jag har möjlighet att utforma arbetsflöden och kravställa utrustning så att vi med ledande verktyg och bra processer kan hantera den ständigt föränderliga digitala utvecklingen och vidareutveckla våra tjänster i takt med marknadens efterfrågan.

 

Kontakta oss för ytterligare information om SRS säkerhetstjänster inom IT-forensik.