Fraude
Fraude is een veel gebruikte term maar een lastig begrip om exact te definiëren. De term fraude bestaat niet in straf-of civiel recht. In strafzaken wordt fraude veelal omschreven als een combinatie van handelingen: valsheid in geschrifte of oplichting in combinatie met diefstal. In de Code voor Informatiebeveiliging wordt fraude wel vermeld maar niet nader toegelicht. De richtlijnen voor accountantscontrole spreekt van ‘een opzettelijke handeling door één of meer personen uit de kring van de leiding, de organen belast met gouvernante, het personeel of derden, waarbij misleiding wordt gebruikt om een onrechtmatig of onwettig voordeel te behalen.’ [Bron: Richtlijnen AccountantsControle artikel 240].
Dit artikel beperkt zich tot het behandelen van fraude waarbij (indirect) geautomatiseerde informatieverwerking (ICT) is betrokken. Fraude kenmerkt zich door opzettelijke misleiding en een behalen van een voordeel. Beide feiten -het misleiden en de diefstal -zijn op zich strafbaar, maar bij vervolging van fraude is meestal het onwettig of onrechtmatig voordeel, diefstal (art.310 WvSr), Verduistering (art.321 WvSr) of Oplichting (art.326 WvSr) -de primaire aanklacht.
Wanneer het een ICT-omgeving betreft bestaat de misleiding vaak uit valsheid in geschrifte (artikel 225 WvSr), het binnendringen in een geautomatiseerd werk (art 138a WvSr) of het veranderen van gegevens (art.350b WvSr).
Uit de praktijk blijkt dat fraude heel vaak een vast schema doorloopt

De daadwerkelijke fraude zelf bestaat uit de onttrekking en verhulling. Er zijn drie soorten fraude in dat kader te onderkennen:

Vreemd genoeg wordt fraude meestal ontdekt vanuit het onttrekken (onjuistheden in de boeken) of het afwijkende gedrag van de fraudeur en veel minder vaak vanuit het verhullen. Ondanks signalen uit de ICT-omgeving worden de signalen vaak niet in relatie met een mogelijke fraude gebracht.

In een van de eerste boeken over computerincidenten, ‘The Cuckoo’s Egg’ van Clifford Stoll, waren niet de ICT-incidenten, maar een onverklaarbaar verschil in de boekhouding de aanleiding voor het onderzoek naar de hackers.

De auteur had als systeemprogrammeur bij de Berkeley universiteit in Californië ontdekt dat 75 dollarcent niet verantwoord kon worden. Toen hij dit verder ging uitzoeken bleek tevens dat de registratie van het betreffende gebruik (computer tijd ter waarde van 75 cent) uit de registratie was verwijderd. Dit leidde tot een jacht op de daders -die computer hackers bleken te zijn -en zijn computer gebruikte als springplank voor verdere hacking praktijken.

Om fraude te kunnen plegen is kennis van het ‘systeem’ nodig. Onder systeem wordt in dit verband verstaan: apparatuur, programmatuur maar ook procedures en controles daarin. Wie het systeem kan doorgronden, weet waar de zwakke plekken zitten, waar hij of zij een mutatie kan aanbrengen die niet in de eerstvolgende telling of controle aan het licht komt. In figuur 3 is te zien dat medewerkers met veel kennis van de interne processen (linker kolom) een groter risico vormen voor een organisatie dan de technisch bekwame medewerker (bovenste rij).

Fraude-onderzoeken
Om een fraude te kunnen doorgronden en onderzoeken wordt het schema van figuur 2 gehanteerd. De probeersels (fase 2) en verhullen (fase 4) -veelal gepleegd met behulp van ICT of gericht tegen een informatiesysteem -laten sporen achter in de ICT-omgeving. Het is echter meestal de handelswijze die leidt tot herkenning en onderkenning van fraude, niet de sporen in de ICT omgeving.

Het onderzoeken van fraude is daardoor een combinatie van het onderzoeken en in kaart brengen van de handelswijze (fase 1 en fase 3) en het vinden van de sporen van de wijzigingen. Het zoeken, herkennen en analyseren van sporen van een incident in een ICT-omgeving heet ICT forensics. ,ICT forensics
Forensisch betekent volgens Van Dale: “betrekking hebbend op justitie”. Het onderzoek dient derhalve een zodanige wijze te worden uitgevoerd dat het als bewijsmateriaal in een rechtszaal gebruikt kan worden.

ICT forensics richt zich op het vinden, analyseren, veredelen en rapporteren van sporen van een bepaalde gebeurtenis in een ICT-omgeving. Belangrijkste kenmerk -en tegelijkertijd uitdaging van een ICT forensisch onderzoek is dat het onderzoek zelf met ICT-middelen wordt uitgevoerd en dat het onderzoeksobject ook ICT-middelen betreft. Deze twee dienen strikt gescheiden te blijven, het onderzoek zelf mag de te onderzoeken omgeving op geen enkele wijze beïnvloeden. Een ICT forensisch onderzoek dient zelfs zo opgezet te worden dat dit onomstotelijk vast komt te staan.

Een forensisch onderzoek bestaat uit de stappen: bevriezen en vastleggen, ordenen en classificeren, analyseren en presenteren of rapporteren.

Bevriezen en vastleggen
Een forensisch onderzoek in een ICT-omgeving levert een schat aan informatie. Te veel zelfs: met de huidige stand van de techniek, zijn PC’s met meer dan 100 gigabyte aan data geen uitzondering. Wanneer een fraude-onderzoek meerdere (mogelijke) daders betreft en enkele servers ook in het onderzoek meegenomen moeten worden, loopt de hoeveelheid te doorzoeken informatie snel in de terabytes.

De eerste stap is het bevriezen en vastleggen van de brongegevens. Zoveel mogelijk wordt een exacte kopie van een disk gemaakt en deze letterlijke kopie, ook wel image genoemd, wordt met behulp van een hash-functie bevroren.

Een hash-functie berekent een hash-waarde over de inhoud van een bestand. De hash-waarde is de uitkomst van een wiskundige berekening en de uitkomst heeft altijd dezelfde lengte. Een hash-waarde is een representatie van de inhoud, het wijzigen van één enkele bit in een bestand levert een volledig andere hash-waarde op. Door het vergelijken van de uitkomst van twee hashberekeningen kan in de praktijk met zekerheid worden gesteld dat de twee bestanden identiek zijn.

Ordenen en Classificeren
De enorme hoeveelheden aan informatie dienen snel en accuraat te worden geordend. De informatie moet snel geclassificeerd en beschikbaar gemaakt worden voor de fraudeonderzoekers. Hierbij wordt gebruik gemaakt van speciale classificeringsoftware.

De informatie wordt ten behoeve van forensisch onderzoek ingedeeld in drie typen informatie:

• Informatie van een bericht: dit betreft de inhoudelijke informatie van een bericht, bijvoorbeeld een telefoonnummer, een bankrekeningnummer of een naam van een persoon.
  
• Meta-gegevens: meta-gegevens worden door het operating systeem bijgehouden om het bestand te kunnen ordenen, opslaan of afdrukken. Meta-gegevens zijn bijvoorbeeld datum/tijdstip van laatste wijziging, user-ID van document auteur, locatie op de harde schijf, naam van een bestand, gebruikte programma om het te wijzigen. Meta-gegevens worden door zowel het verwerkende programma of apparatuur aangemaakt, als door het operating systeem zelf. Meta-gegevens worden gebruikt om bestanden te koppelen aan bijvoorbeeld bestanden die op hetzelfde moment zijn gewijzigd of door dezelfde persoon.
  
• Vormeigenschappen van een bericht: vormeigenschappen zeggen iets over de vorm van de inhoudelijke gegevens. Vormgegevens geven aanwijzingen over het menselijk gedrag. Voorbeelden van vormgegevens zijn spelfouten, woord-en taalgebruik, programmeerstijl of voorkeuren voor bepaalde cijfercombinaties. Vormeigenschappen van een bericht leggen verbanden tussen informatie of geven kenmerken aan informatie die niet in meta-gegevens zijn terug te vinden. Vormeigenschappen worden veelal gebruikt om gegevens in een grote database te herkennen en/of te groeperen.

Herkenbare bestanden: dit zijn documenten, e-mail berichten, presentaties, bijvoorbeeld films of plaatjes. Deze bestanden bevatten over het algemeen de informatie die nodig is om een fraude te onderkennen en te analyseren.
Bekende bestanden die geen informatie bevatten: veel bestanden in een computer zijn programmabestanden of hulpbestanden voor de werking van het systeem zelf. Deze bestanden bevatten geen informatie zelf en kunnen eenvoudig worden overgeslagen.

Overige gegevens: niet alle bestanden worden automatisch herkend of zijn direct leesbaar. In deze laatste categorie van bestanden zitten de overige bestanden: voorbeelden zijn verwijderde en gedeeltelijk overschreven bestanden, delen van bestanden, vercijferde bestanden of bestanden aangemaakt met een programma dat niet wordt herkend.

Analyseren
Het eigenlijke onderzoek en de analyse van gegevens vindt daarna altijd plaats aan de hand van een kopie van de gegevens. Zo wordt altijd gewaarborgd dat het onderzoek zelf de bron gegevens niet aan kan tasten.

Aan de hand van de casus (het fraude-geval) wordt samen met een forensisch accountant gezocht naar sporen van de fraude: zijn er aanwijzingen voor de handeling, de verhulling, de voorbereiding of het proberen? Veelal zal dit plaatsvinden aan de hand van bijvoorbeeld het zoeken naar een bepaald bedrag of een bankrekeningnummer, waarna een datum/tijd kan worden bepaald van dat moment. Wat is er nog meer gebeurd op datzelfde tijdstip, met wie (of wat) is er gecommuniceerd? Levert dat weer meer inzicht in de casus? Het onderzoek is daarmee een wisselwerking tussen de casus (de fraude) en de ICT-sporen. Deloitte heeft voor het analyseren een forensisch systeem ontwikkeld waarin alle informatie verzameld en gecorreleerd kan worden. Dit systeem wordt door alle leden van het onderzoeksteam gebruikt. Het systeem kan gebeurtenissen in een tijdslijn neerzetten, de onderlinge verbanden tussen personen en computers inzichtelijk maken en verbanden leggen op basis van vormeigenschappen van informatie.

De rol van ICT in fraude-onderzoeken
Een belangrijke stap voor het forensisch onderzoeksteam is het in kaart brengen van de casus. De casus is het hoe en het wat van de onrechtmatigheden. Wat is er gebeurd in het systeem en hoe heeft dat plaatsgevonden? Onder systeem wordt hier weer verstaan het geheel aan componenten computersystemen, procedures en controles -die nodig zijn om de fraude te plegen. In de meeste gevallen speelt ICT daarin een belangrijke rol.

Aan de hand van het overzicht wordt bepaald wat er nodig is voor nader onderzoek. In deze stap is hulp en expertise van de systeembeheerder vaak onmisbaar. Hij of zij weet welke computersystemen een rol spelen binnen het geheel. Een onderzoeker kan dit pas na vele dagen of weken zelf pas uitwerken.

Bij het analyseren van de fraude speelt ICT weer een belangrijke rol, namelijk als onderzoeksomgeving. Het filteren, analyseren en indexeren van bestanden wordt ook met behulp van ICT uitgevoerd. Deze ICT-omgeving speelt zich af in de back-office van de onderzoekers en is aan strenge procedures en kwaliteitseisen onderhevig. De onderzoeker moet immers verantwoording afleggen over elke stap en berekening in het onderzoeksproces.

De rol van informatiebeveiliging in fraude-onderzoeken
Informatiebeveiliging richt zich op het beschermen van informatie tegen externe invloeden. Daar wordt vooral gekeken naar informatie in relatie tot het gebruik van die informatie (procesanalyse), de mogelijke risico’s en kwetsbaarheden (risico-analyse). Omdat informatiebeveiliging zich primair richt op ICT, het beheersen van ICT en ICT-verwerking, valt fraude vaak buiten de scope van informatiebeveiliging.

Aan elk incident -niet alleen fraude -zijn er vooraf signalen die duiden op een ophanden zijnde gebeurtenis. Deze signalen liggen echter vaak onder een bepaalde drempelwaarde en zullen niet als zodanig herkend worden. Denk daarbij bijvoorbeeld aan voorbereidende werkzaamheden: kan ik onder een ander account inloggen, kan ik in de avonduren een bedrag overmaken?

Omdat deze signalen onder een bepaalde drempel liggen, zullen ze waarschijnlijk nooit onderzocht worden. Er werken immers vele mensen in hetzelfde bedrijf, iedereen werkt wel eens laat of in het weekend en het overmaken van kleine bedragen wordt niet of nauwelijks gecontroleerd. De audit trail en log-bestanden van deze transactie zijn wel degelijk belangrijk voor een eventueel onderzoek. Het aanmaken, opslaan en bewaren van log-bestanden is een belangrijke voorwaarde voor het onderzoeken van fraude.

Veel fraude is mogelijk doordat systemen uit meerdere componenten bestaan, denk bijvoorbeeld aan verschillende applicaties met meerdere databases of gedeelde bestanden. Heel vaak is het eenvoudig mogelijk om het bestand te manipuleren dat tussen twee applicaties wordt uitgewisseld. Door tijdens de ontwikkeling hier meer aandacht aan te besteden wordt het risico van manipulatie veel kleiner.

Conclusies
Een fraude-onderzoek richt zich op het onderzoeken van een misleidende handelswijze. Daarbij wordt heel vaak -direct of indirect -informatietechnologie gebruikt. Informatiebeveiliging richt zich op correcte, tijdige en vertrouwelijke informatie (verwerking).

Informatiebeveiliging richt zich op het waarborgen correcte, tijdige en vertrouwelijke informatie. Beide aspecten (fraude met misleiding) en informatiebeveiliging (waarborgen integriteit van informatie) ontmoeten elkaar in een fraude onderzoek.

In de praktijk blijkt dat informatiebeveiliging zich richt op het beschermen van informatie en dat fraudeonderzoekers zich gauw richten op de Administratieve Organisatie en het stelsel van Interne Controle (AO/IC). Een fraudeonderzoek dat naast de handelswijze ook de ICT onderzoekt beschikt over een schat aan informatie omtrent het gepleegde feit (zie figuur 5)

In een ideale situatie staan de proceseigenaren en de infrastructuurbeheerder voordat een fraude zich voorzoet met elkaar in overleg. Het beste kan dit bewerkstelligt worden door vooraf een keer met een fraude bril naar de ICT te kijken en met een ICT bril eens naar fraude te kijken.

Door de brug te slaan tussen bedrijfsvoering (handelswijze) en ICT (sporen), is het mogelijk een forensisch fraude-onderzoek snel en efficiënt uit te voeren. Door ook de brug te slaan tussen informatiebeveiliging en de proceseigenaren zal de waarde van informatiebeveiliging toenemen voor de organisatie maar ook het onderzoek naar fraude incidenten vergemakkelijken.

Aanbevolen leesvoer