image

ICT forensics, fraude en informatiebeveiliging

dinsdag 24 oktober 2006, 11:25 door Redactie, 1 reacties

Over de auteur: Johan ten Houten is Manager ICT Forensics bij Deloitte Bijzonder Onderzoek & Integriteitsadvies en Deloitte Enterprise Risk Services

Dit artikel verscheen eerder in het GVIB magazine

Inleiding
Het proces van informatiebeveiliging gaat uit van een continu proces van verbeteringen: plan, design, build, operate en evaluate (zie figuur 1). Incidenten worden nauwelijks onderkend in het schema van preventieve, detective, correctieve en repressieve maatregelen. De focus ligt veel meer op macroniveau: het bijstellen van beleid en het implementeren van maatregelen die voorkomen dat een incident in de toekomst weer zal gebeuren. Voor reguliere incidenten als computervirussen, software crashes en zelfs gedeeltelijk voor hacking is deze aanpak voldoende. Echter, wanneer een incident zich niet primair op de ICT richt maar op de business, bijvoorbeeld verschillende vormen van fraude, dan is deze aanpak gericht op het bijstellen van de beveiliging. Dit soort directe en opzettelijke schade aan de bedrijfsvoering dient direct te worden opgespoord. Het onderzoek richt zich op identificatie van de dader, het vaststellen van de omvang van de schade en het bepalen op welke wijze het incident heeft plaatsgevonden. Een forensisch onderzoek is dan noodzakelijk.

Figuur 1: Het proces van informatiebeveiliging

Dit artikel gaat in op het verschil tussen fraude en informatiebeveiligingsincidenten, wat fraude is, wat forensics in dat kader inhoudt, de rol van ICT in forensische onderzoeken, de rol van ICT in fraude-onderzoeken, de rol van informatiebeveiliging in fraude-onderzoeken en tot slot een aanbeveling om informatie ook vanuit een fraude-oogpunt te benaderen.

Fraude
Fraude is een veel gebruikte term maar een lastig begrip om exact te definiëren. De term fraude bestaat niet in straf-of civiel recht. In strafzaken wordt fraude veelal omschreven als een combinatie van handelingen: valsheid in geschrifte of oplichting in combinatie met diefstal. In de Code voor Informatiebeveiliging wordt fraude wel vermeld maar niet nader toegelicht. De richtlijnen voor accountantscontrole spreekt van ‘een opzettelijke handeling door één of meer personen uit de kring van de leiding, de organen belast met gouvernante, het personeel of derden, waarbij misleiding wordt gebruikt om een onrechtmatig of onwettig voordeel te behalen.’ [Bron: Richtlijnen AccountantsControle artikel 240].
Dit artikel beperkt zich tot het behandelen van fraude waarbij (indirect) geautomatiseerde informatieverwerking (ICT) is betrokken. Fraude kenmerkt zich door opzettelijke misleiding en een behalen van een voordeel. Beide feiten -het misleiden en de diefstal -zijn op zich strafbaar, maar bij vervolging van fraude is meestal het onwettig of onrechtmatig voordeel, diefstal (art.310 WvSr), Verduistering (art.321 WvSr) of Oplichting (art.326 WvSr) -de primaire aanklacht.
Wanneer het een ICT-omgeving betreft bestaat de misleiding vaak uit valsheid in geschrifte (artikel 225 WvSr), het binnendringen in een geautomatiseerd werk (art 138a WvSr) of het veranderen van gegevens (art.350b WvSr).
Uit de praktijk blijkt dat fraude heel vaak een vast schema doorloopt


Figuur 2: Veel toegepaste fasering van fraude

De daadwerkelijke fraude zelf bestaat uit de onttrekking en verhulling. Er zijn drie soorten fraude in dat kader te onderkennen:


Soort fraude Voorbeeld
Waarde onttrekken en vervolgens informatie wijzigen teneinde de onttrekking te maskeren. De meest bekende vorm van fraude is het wegnemen van geld uit de kas en daarna de boekhouding aanpassen om het gemis te verhullen.
Informatie wijzigen teneinde waarde te kunnen onttrekken. Bekende voorbeelden zijn de programmeurs die bankbedragen anders afronden en het verschil op hun eigen rekening bijschreven
Informatie wijzigen teneinde cijfers te beïnvloeden. Bekende voorbeelden zijn onjuiste cijfers als basis voor een jaarverslag.

Vreemd genoeg wordt fraude meestal ontdekt vanuit het onttrekken (onjuistheden in de boeken) of het afwijkende gedrag van de fraudeur en veel minder vaak vanuit het verhullen. Ondanks signalen uit de ICT-omgeving worden de signalen vaak niet in relatie met een mogelijke fraude gebracht.

In een van de eerste boeken over computerincidenten, ‘The Cuckoo’s Egg’ van Clifford Stoll, waren niet de ICT-incidenten, maar een onverklaarbaar verschil in de boekhouding de aanleiding voor het onderzoek naar de hackers.

De auteur had als systeemprogrammeur bij de Berkeley universiteit in Californië ontdekt dat 75 dollarcent niet verantwoord kon worden. Toen hij dit verder ging uitzoeken bleek tevens dat de registratie van het betreffende gebruik (computer tijd ter waarde van 75 cent) uit de registratie was verwijderd. Dit leidde tot een jacht op de daders -die computer hackers bleken te zijn -en zijn computer gebruikte als springplank voor verdere hacking praktijken.

Om fraude te kunnen plegen is kennis van het ‘systeem’ nodig. Onder systeem wordt in dit verband verstaan: apparatuur, programmatuur maar ook procedures en controles daarin. Wie het systeem kan doorgronden, weet waar de zwakke plekken zitten, waar hij of zij een mutatie kan aanbrengen die niet in de eerstvolgende telling of controle aan het licht komt. In figuur 3 is te zien dat medewerkers met veel kennis van de interne processen (linker kolom) een groter risico vormen voor een organisatie dan de technisch bekwame medewerker (bovenste rij).


Figuur 3:Waar loopt een organisatie risico dat medewerkers fraude
plegen (Bron Gartner).

Fraude-onderzoeken
Om een fraude te kunnen doorgronden en onderzoeken wordt het schema van figuur 2 gehanteerd. De probeersels (fase 2) en verhullen (fase 4) -veelal gepleegd met behulp van ICT of gericht tegen een informatiesysteem -laten sporen achter in de ICT-omgeving. Het is echter meestal de handelswijze die leidt tot herkenning en onderkenning van fraude, niet de sporen in de ICT omgeving.

Het onderzoeken van fraude is daardoor een combinatie van het onderzoeken en in kaart brengen van de handelswijze (fase 1 en fase 3) en het vinden van de sporen van de wijzigingen. Het zoeken, herkennen en analyseren van sporen van een incident in een ICT-omgeving heet ICT forensics. ,ICT forensics
Forensisch betekent volgens Van Dale: “betrekking hebbend op justitie”. Het onderzoek dient derhalve een zodanige wijze te worden uitgevoerd dat het als bewijsmateriaal in een rechtszaal gebruikt kan worden.

ICT forensics richt zich op het vinden, analyseren, veredelen en rapporteren van sporen van een bepaalde gebeurtenis in een ICT-omgeving. Belangrijkste kenmerk -en tegelijkertijd uitdaging van een ICT forensisch onderzoek is dat het onderzoek zelf met ICT-middelen wordt uitgevoerd en dat het onderzoeksobject ook ICT-middelen betreft. Deze twee dienen strikt gescheiden te blijven, het onderzoek zelf mag de te onderzoeken omgeving op geen enkele wijze beïnvloeden. Een ICT forensisch onderzoek dient zelfs zo opgezet te worden dat dit onomstotelijk vast komt te staan.

Een forensisch onderzoek bestaat uit de stappen: bevriezen en vastleggen, ordenen en classificeren, analyseren en presenteren of rapporteren.

Bevriezen en vastleggen
Een forensisch onderzoek in een ICT-omgeving levert een schat aan informatie. Te veel zelfs: met de huidige stand van de techniek, zijn PC’s met meer dan 100 gigabyte aan data geen uitzondering. Wanneer een fraude-onderzoek meerdere (mogelijke) daders betreft en enkele servers ook in het onderzoek meegenomen moeten worden, loopt de hoeveelheid te doorzoeken informatie snel in de terabytes.

De eerste stap is het bevriezen en vastleggen van de brongegevens. Zoveel mogelijk wordt een exacte kopie van een disk gemaakt en deze letterlijke kopie, ook wel image genoemd, wordt met behulp van een hash-functie bevroren.

Een hash-functie berekent een hash-waarde over de inhoud van een bestand. De hash-waarde is de uitkomst van een wiskundige berekening en de uitkomst heeft altijd dezelfde lengte. Een hash-waarde is een representatie van de inhoud, het wijzigen van één enkele bit in een bestand levert een volledig andere hash-waarde op. Door het vergelijken van de uitkomst van twee hashberekeningen kan in de praktijk met zekerheid worden gesteld dat de twee bestanden identiek zijn.

Ordenen en Classificeren
De enorme hoeveelheden aan informatie dienen snel en accuraat te worden geordend. De informatie moet snel geclassificeerd en beschikbaar gemaakt worden voor de fraudeonderzoekers. Hierbij wordt gebruik gemaakt van speciale classificeringsoftware.

De informatie wordt ten behoeve van forensisch onderzoek ingedeeld in drie typen informatie:

  • Informatie van een bericht: dit betreft de inhoudelijke informatie van een bericht, bijvoorbeeld een telefoonnummer, een bankrekeningnummer of een naam van een persoon.
  • Meta-gegevens: meta-gegevens worden door het operating systeem bijgehouden om het bestand te kunnen ordenen, opslaan of afdrukken. Meta-gegevens zijn bijvoorbeeld datum/tijdstip van laatste wijziging, user-ID van document auteur, locatie op de harde schijf, naam van een bestand, gebruikte programma om het te wijzigen. Meta-gegevens worden door zowel het verwerkende programma of apparatuur aangemaakt, als door het operating systeem zelf. Meta-gegevens worden gebruikt om bestanden te koppelen aan bijvoorbeeld bestanden die op hetzelfde moment zijn gewijzigd of door dezelfde persoon.
  • Vormeigenschappen van een bericht: vormeigenschappen zeggen iets over de vorm van de inhoudelijke gegevens. Vormgegevens geven aanwijzingen over het menselijk gedrag. Voorbeelden van vormgegevens zijn spelfouten, woord-en taalgebruik, programmeerstijl of voorkeuren voor bepaalde cijfercombinaties. Vormeigenschappen van een bericht leggen verbanden tussen informatie of geven kenmerken aan informatie die niet in meta-gegevens zijn terug te vinden. Vormeigenschappen worden veelal gebruikt om gegevens in een grote database te herkennen en/of te groeperen.

Figuur 4: Verschillende typen informatie in een ICT systeem

De exacte kopie wordt ontleed en automatische geanalyseerd. Van elk bestand worden alle metagegevens in een database opgeslagen. Verwijderde bestanden worden automatisch zichtbaar gemaakt en alle bestanden worden voor onderzoek in een van de volgende drie soorten bestanden ingedeeld:

Herkenbare bestanden: dit zijn documenten, e-mail berichten, presentaties, bijvoorbeeld films of plaatjes. Deze bestanden bevatten over het algemeen de informatie die nodig is om een fraude te onderkennen en te analyseren.
Bekende bestanden die geen informatie bevatten: veel bestanden in een computer zijn programmabestanden of hulpbestanden voor de werking van het systeem zelf. Deze bestanden bevatten geen informatie zelf en kunnen eenvoudig worden overgeslagen.

Overige gegevens: niet alle bestanden worden automatisch herkend of zijn direct leesbaar. In deze laatste categorie van bestanden zitten de overige bestanden: voorbeelden zijn verwijderde en gedeeltelijk overschreven bestanden, delen van bestanden, vercijferde bestanden of bestanden aangemaakt met een programma dat niet wordt herkend.

Analyseren
Het eigenlijke onderzoek en de analyse van gegevens vindt daarna altijd plaats aan de hand van een kopie van de gegevens. Zo wordt altijd gewaarborgd dat het onderzoek zelf de bron gegevens niet aan kan tasten.

Aan de hand van de casus (het fraude-geval) wordt samen met een forensisch accountant gezocht naar sporen van de fraude: zijn er aanwijzingen voor de handeling, de verhulling, de voorbereiding of het proberen? Veelal zal dit plaatsvinden aan de hand van bijvoorbeeld het zoeken naar een bepaald bedrag of een bankrekeningnummer, waarna een datum/tijd kan worden bepaald van dat moment. Wat is er nog meer gebeurd op datzelfde tijdstip, met wie (of wat) is er gecommuniceerd? Levert dat weer meer inzicht in de casus? Het onderzoek is daarmee een wisselwerking tussen de casus (de fraude) en de ICT-sporen. Deloitte heeft voor het analyseren een forensisch systeem ontwikkeld waarin alle informatie verzameld en gecorreleerd kan worden. Dit systeem wordt door alle leden van het onderzoeksteam gebruikt. Het systeem kan gebeurtenissen in een tijdslijn neerzetten, de onderlinge verbanden tussen personen en computers inzichtelijk maken en verbanden leggen op basis van vormeigenschappen van informatie.

De rol van ICT in fraude-onderzoeken
Een belangrijke stap voor het forensisch onderzoeksteam is het in kaart brengen van de casus. De casus is het hoe en het wat van de onrechtmatigheden. Wat is er gebeurd in het systeem en hoe heeft dat plaatsgevonden? Onder systeem wordt hier weer verstaan het geheel aan componenten computersystemen, procedures en controles -die nodig zijn om de fraude te plegen. In de meeste gevallen speelt ICT daarin een belangrijke rol.

Aan de hand van het overzicht wordt bepaald wat er nodig is voor nader onderzoek. In deze stap is hulp en expertise van de systeembeheerder vaak onmisbaar. Hij of zij weet welke computersystemen een rol spelen binnen het geheel. Een onderzoeker kan dit pas na vele dagen of weken zelf pas uitwerken.

Bij het analyseren van de fraude speelt ICT weer een belangrijke rol, namelijk als onderzoeksomgeving. Het filteren, analyseren en indexeren van bestanden wordt ook met behulp van ICT uitgevoerd. Deze ICT-omgeving speelt zich af in de back-office van de onderzoekers en is aan strenge procedures en kwaliteitseisen onderhevig. De onderzoeker moet immers verantwoording afleggen over elke stap en berekening in het onderzoeksproces.

De rol van informatiebeveiliging in fraude-onderzoeken
Informatiebeveiliging richt zich op het beschermen van informatie tegen externe invloeden. Daar wordt vooral gekeken naar informatie in relatie tot het gebruik van die informatie (procesanalyse), de mogelijke risico’s en kwetsbaarheden (risico-analyse). Omdat informatiebeveiliging zich primair richt op ICT, het beheersen van ICT en ICT-verwerking, valt fraude vaak buiten de scope van informatiebeveiliging.

Aan elk incident -niet alleen fraude -zijn er vooraf signalen die duiden op een ophanden zijnde gebeurtenis. Deze signalen liggen echter vaak onder een bepaalde drempelwaarde en zullen niet als zodanig herkend worden. Denk daarbij bijvoorbeeld aan voorbereidende werkzaamheden: kan ik onder een ander account inloggen, kan ik in de avonduren een bedrag overmaken?

Omdat deze signalen onder een bepaalde drempel liggen, zullen ze waarschijnlijk nooit onderzocht worden. Er werken immers vele mensen in hetzelfde bedrijf, iedereen werkt wel eens laat of in het weekend en het overmaken van kleine bedragen wordt niet of nauwelijks gecontroleerd. De audit trail en log-bestanden van deze transactie zijn wel degelijk belangrijk voor een eventueel onderzoek. Het aanmaken, opslaan en bewaren van log-bestanden is een belangrijke voorwaarde voor het onderzoeken van fraude.

Veel fraude is mogelijk doordat systemen uit meerdere componenten bestaan, denk bijvoorbeeld aan verschillende applicaties met meerdere databases of gedeelde bestanden. Heel vaak is het eenvoudig mogelijk om het bestand te manipuleren dat tussen twee applicaties wordt uitgewisseld. Door tijdens de ontwikkeling hier meer aandacht aan te besteden wordt het risico van manipulatie veel kleiner.

Conclusies
Een fraude-onderzoek richt zich op het onderzoeken van een misleidende handelswijze. Daarbij wordt heel vaak -direct of indirect -informatietechnologie gebruikt. Informatiebeveiliging richt zich op correcte, tijdige en vertrouwelijke informatie (verwerking).

Informatiebeveiliging richt zich op het waarborgen correcte, tijdige en vertrouwelijke informatie. Beide aspecten (fraude met misleiding) en informatiebeveiliging (waarborgen integriteit van informatie) ontmoeten elkaar in een fraude onderzoek.

In de praktijk blijkt dat informatiebeveiliging zich richt op het beschermen van informatie en dat fraudeonderzoekers zich gauw richten op de Administratieve Organisatie en het stelsel van Interne Controle (AO/IC). Een fraudeonderzoek dat naast de handelswijze ook de ICT onderzoekt beschikt over een schat aan informatie omtrent het gepleegde feit (zie figuur 5)


Figuur 5: De relatie tussen de forensische accountant, forensische ICT onderzoeker, de proces eigenaar en de technische infrastructuur

In een ideale situatie staan de proceseigenaren en de infrastructuurbeheerder voordat een fraude zich voorzoet met elkaar in overleg. Het beste kan dit bewerkstelligt worden door vooraf een keer met een fraude bril naar de ICT te kijken en met een ICT bril eens naar fraude te kijken.

Door de brug te slaan tussen bedrijfsvoering (handelswijze) en ICT (sporen), is het mogelijk een forensisch fraude-onderzoek snel en efficiënt uit te voeren. Door ook de brug te slaan tussen informatiebeveiliging en de proceseigenaren zal de waarde van informatiebeveiliging toenemen voor de organisatie maar ook het onderzoek naar fraude incidenten vergemakkelijken.

Aanbevolen leesvoer

  • ‘Het drama AHOLD’ van Jeroen Smit, omdat het zo goed aangeeft hoe complex een grote organisatie is en op welke wijze dat fout kan gaan.
  • ‘The Cuckoo’s Egg’ van Clifford Stoll, omdat dat boek mijn interesse in computers en computer security heeft gewekt.
  • ‘Secrets and Lies’ van Bruce Schneier, gewoon omdat Bruce mijn held is en ik ook vroeger dacht dat als ik Applied Cryptogtraphy maar uit mijn hoofd kende alle security problemen opgelost konden worden.
  • Reacties (1)
    27-10-2006, 19:00 door Anoniem
    Fraude is inderdaad een zeer subtiel onderwerp.

    In de praktijk zie je qua fraude bijvoorbeeld vaak
    zogenaamde samenwerkingen tussen bijvoorbeeld inkopers en
    leveranciers. Hierbij worden produkten geleverd tegen op het
    eerste gezicht redelijke prijzen. Deze blijken echter bij
    bestudering door personen met daadwerkelijke kennis van de
    handel niet van voldoende korting te zijn voorzien gezien
    het volume van de handel. Dergelijke constructies zijn een
    bekend fenomeen en vaak moeilijk op een legale wijze aan het
    licht te brengen. Althans waar het gaat om bewijsmateriaal
    die overeind blijft staan in een rechtbank. Uiteraard is dit
    een voorbeeld die op geen enkele wijze met wat voor
    informatiebeveiligingssysteem dan ook gedetecteerd kon worden.

    Beveiliging op semantisch niiveau is dan ook vaak te hoog
    gegrepen voor de accountant. Deze bezit vaak niet voldoende
    kennis van de onderliggende markten en prijsfluctuaties om
    dit soort subtiele vormen van fraude te onderkennen. Wel is
    het mogelijk door het uitgaven patroon van medewerkers op
    fraude gevoelige posities binnen de grenzen van de wet te
    laten controleren door een recherche bureau. Hoewel dit
    uiteraard extreem gevoelig ligt.

    Uiteindelijk komt het er op neer dat veelal met behulp van
    externe partijen zeer effectief gelden onrechtmatig
    onttrokken kunnen worden. Bijvoorbeeld de directeur die het
    schoonmaak bedrijf van de zwager inhuurt. En daarbij
    structureel te veel uren laat schrijven.. Hoewel dit
    voorbeeld indien de accountant of auditeur daadwerkelijk
    zijn werk zou doen wel aan het licht kan komen. Mits deze de
    moeite neemt uiteraard om zaken grondig te controleren.

    Het blijft echter zeer de vraag of in de turbulentie van de
    markt dergelijke mistanden echt stelselmatig via de boeken
    opgespoord kunnen worden. De domste fraudeplannen komen zo
    wel aan het licht. Het zijn echter vaak de slimme fraudeurs
    die echt geld kosten... In de praktijk werken andere
    methoden daarom vaak beter....

    Ciao,
    Carlo

    http://www.pragmasec.com
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.