ICT forensics, fraude en informatiebeveiliging
24-10-2006,11:25 door
Inleiding
Het proces van informatiebeveiliging gaat uit van een continu proces van verbeteringen: plan, design, build, operate en evaluate (zie figuur 1). Incidenten worden nauwelijks onderkend in het schema van preventieve, detective, correctieve en repressieve maatregelen. De focus ligt veel meer op macroniveau: het bijstellen van beleid en het implementeren van maatregelen die voorkomen dat een incident in de toekomst weer zal gebeuren. Voor reguliere incidenten als computervirussen, software crashes en zelfs gedeeltelijk voor hacking is deze aanpak voldoende. Echter, wanneer een incident zich niet primair op de ICT richt maar op de business, bijvoorbeeld verschillende vormen van fraude, dan is deze aanpak gericht op het bijstellen van de beveiliging. Dit soort directe en opzettelijke schade aan de bedrijfsvoering dient direct te worden opgespoord. Het onderzoek richt zich op identificatie van de dader, het vaststellen van de omvang van de schade en het bepalen op welke wijze het incident heeft plaatsgevonden. Een forensisch onderzoek is dan noodzakelijk.
Dit artikel gaat in op het verschil tussen fraude en informatiebeveiligingsincidenten, wat fraude is, wat forensics in dat kader inhoudt, de rol van ICT in forensische onderzoeken, de rol van ICT in fraude-onderzoeken, de rol van informatiebeveiliging in fraude-onderzoeken en tot slot een aanbeveling om informatie ook vanuit een fraude-oogpunt te benaderen.
Fraude
Fraude is een veel gebruikte term maar een lastig begrip om exact te definiëren. De term fraude bestaat niet in straf-of civiel recht. In strafzaken wordt fraude veelal omschreven als een combinatie van handelingen: valsheid in geschrifte of oplichting in combinatie met diefstal. In de Code voor Informatiebeveiliging wordt fraude wel vermeld maar niet nader toegelicht. De richtlijnen voor accountantscontrole spreekt van ‘een opzettelijke handeling door één of meer personen uit de kring van de leiding, de organen belast met gouvernante, het personeel of derden, waarbij misleiding wordt gebruikt om een onrechtmatig of onwettig voordeel te behalen.’ [Bron: Richtlijnen AccountantsControle artikel 240].
Dit artikel beperkt zich tot het behandelen van fraude waarbij (indirect) geautomatiseerde informatieverwerking (ICT) is betrokken. Fraude kenmerkt zich door opzettelijke misleiding en een behalen van een voordeel. Beide feiten -het misleiden en de diefstal -zijn op zich strafbaar, maar bij vervolging van fraude is meestal het onwettig of onrechtmatig voordeel, diefstal (art.310 WvSr), Verduistering (art.321 WvSr) of Oplichting (art.326 WvSr) -de primaire aanklacht.
Wanneer het een ICT-omgeving betreft bestaat de misleiding vaak uit valsheid in geschrifte (artikel 225 WvSr), het binnendringen in een geautomatiseerd werk (art 138a WvSr) of het veranderen van gegevens (art.350b WvSr).
Uit de praktijk blijkt dat fraude heel vaak een vast schema doorloopt
De daadwerkelijke fraude zelf bestaat uit de onttrekking en verhulling. Er zijn drie soorten fraude in dat kader te onderkennen:
| Soort fraude | Voorbeeld |
| Waarde onttrekken en vervolgens informatie wijzigen teneinde de onttrekking te maskeren. | De meest bekende vorm van fraude is het wegnemen van geld uit de kas en daarna de boekhouding aanpassen om het gemis te verhullen. |
| Informatie wijzigen teneinde waarde te kunnen onttrekken. | Bekende voorbeelden zijn de programmeurs die bankbedragen anders afronden en het verschil op hun eigen rekening bijschreven |
| Informatie wijzigen teneinde cijfers te beïnvloeden. | Bekende voorbeelden zijn onjuiste cijfers als basis voor een jaarverslag. |
Vreemd genoeg wordt fraude meestal ontdekt vanuit het onttrekken (onjuistheden in de boeken) of het afwijkende gedrag van de fraudeur en veel minder vaak vanuit het verhullen. Ondanks signalen uit de ICT-omgeving worden de signalen vaak niet in relatie met een mogelijke fraude gebracht.
In een van de eerste boeken over computerincidenten, ‘The Cuckoo’s Egg’ van Clifford Stoll, waren niet de ICT-incidenten, maar een onverklaarbaar verschil in de boekhouding de aanleiding voor het onderzoek naar de hackers.
De auteur had als systeemprogrammeur bij de Berkeley universiteit in Californië ontdekt dat 75 dollarcent niet verantwoord kon worden. Toen hij dit verder ging uitzoeken bleek tevens dat de registratie van het betreffende gebruik (computer tijd ter waarde van 75 cent) uit de registratie was verwijderd. Dit leidde tot een jacht op de daders -die computer hackers bleken te zijn -en zijn computer gebruikte als springplank voor verdere hacking praktijken.
Om fraude te kunnen plegen is kennis van het ‘systeem’ nodig. Onder systeem wordt in dit verband verstaan: apparatuur, programmatuur maar ook procedures en controles daarin. Wie het systeem kan doorgronden, weet waar de zwakke plekken zitten, waar hij of zij een mutatie kan aanbrengen die niet in de eerstvolgende telling of controle aan het licht komt. In figuur 3 is te zien dat medewerkers met veel kennis van de interne processen (linker kolom) een groter risico vormen voor een organisatie dan de technisch bekwame medewerker (bovenste rij).
plegen (Bron Gartner).
Fraude-onderzoeken
Om een fraude te kunnen doorgronden en onderzoeken wordt het schema van figuur 2 gehanteerd. De probeersels (fase 2) en verhullen (fase 4) -veelal gepleegd met behulp van ICT of gericht tegen een informatiesysteem -laten sporen achter in de ICT-omgeving. Het is echter meestal de handelswijze die leidt tot herkenning en onderkenning van fraude, niet de sporen in de ICT omgeving.
Het onderzoeken van fraude is daardoor een combinatie van het onderzoeken en in kaart brengen van de handelswijze (fase 1 en fase 3) en het vinden van de sporen van de wijzigingen. Het zoeken, herkennen en analyseren van sporen van een incident in een ICT-omgeving heet ICT forensics.
