FACULTEIT RECHTSGELEERDHEID DECANAAT TIENSESTRAAT 41 3000 LEUVEN Academiejaar 2010-2011 De bestrijding van computercriminaliteit en het uitvoeren van digitaal forensisch onderzoek in België Promotor: Prof. D. VAN DAELE Begeleidster: E. SCHROYEN Verhandeling, ingediend door DAMIEN VAN OUTRYVE D YDEWALLE, bij het eindexamen voor de graad van MASTER IN DE CRIMINOLOGISCHE WETENSCHAPPEN
FACULTEIT RECHTSGELEERDHEID DECANAAT TIENSESTRAAT 41 3000 LEUVEN Academiejaar 2010-2011 De bestrijding van computercriminaliteit en het uitvoeren van digitaal forensisch onderzoek in België Promotor: Prof. D. VAN DAELE Begeleidster: E. SCHROYEN Verhandeling, ingediend door DAMIEN VAN OUTRYVE D YDEWALLE, bij het eindexamen voor de graad van MASTER IN DE CRIMINOLOGISCHE WETENSCHAPPEN
SAMENVATTING De doelstelling van de meesterproef is het onderzoeken van de bestrijding van computercriminaliteit en de uitvoering van digitaal forensisch onderzoek door de private opsporing in België. De wet betreffende informaticacriminaliteit bestaat reeds 10 jaar, maar er bestaat weinig onderzoek rond de bestrijding ervan. De doelstelling van dit onderzoek wordt vertaald in vier onderzoeksvragen. Eerst en vooral wordt de rol van de private opsporing in de bestrijding van computercriminaliteit onderzocht. De overheid is niet meer de exclusieve instantie die burgers beschermt tegen criminaliteit in het algemeen en de daders tracht op te sporen. Vervolgens wordt het doel van digitaal bewijsmateriaal onderzocht. Daarna wordt gekeken in welke mate de private opsporing samenwerkt met andere diensten. Wat is het doel van deze samenwerking? In de literatuur worden verschillende mogelijkheden van samenwerkingen beschreven. Tenslotte wordt gekeken welke problemen er kunnen voorkomen bij het uitvoeren van digitaal forensisch onderzoek door de private opsporing in België. Alvorens de onderzoeksvragen te beantwoorden is een literatuurstudie noodzakelijk. Onder computercriminaliteit worden alle illegale acties zoals omschreven in het Strafwetboek bedoeld, waarbij computerkennis of technologie gebruikt wordt. Digitaal forensisch onderzoek bestaat uit een procedure waarbij digitale gegevens op een rechtmatige manier gerecupereerd, geanalyseerd, geïnterpreteerd en gerapporteerd worden. Hoe de private opsporing de begrippen computercriminaliteit en digitaal forensisch onderzoek omschrijven wordt onderzocht. Aan de hand van een doelgerichte steekproef worden een aantal private opsporingsdiensten gecontacteerd. Er wordt geconstateerd dat de onderzoeksgroep gering is en elkaar goed kennen, ondanks de geografische spreiding. De respondenten worden aan de hand van een semigestructureerd interview bevraagd. Aan de hand van de analyse van de gegevens uit de drie interviews is het mogelijk de onderzoeksvragen te beantwoorden. I
DANKWOORD Alvorens deze meesterproef uiteen te zetten, wens ik een woord van dank aan enkele personen op te dragen. Dankzij hun bijdrage kon dit onderzoek tot een goed einde worden gebracht. In eerste instantie wil ik graag mijn promotor Prof. Dr. Dirk Van Daele bedanken voor het aanreiken van dit onderwerp. Mijn begeleidster Evi Schroyen wil ik bedanken voor de kritische bemerkingen bij de tekst en de vele tips die ik kreeg zowel tijdens de individuele contactmomenten als tijdens de collectieve meesterproefseminaries. Dit empirisch onderzoek zou nooit tot stand gekomen worden zonder de medewerking van de respondenten en de mensen die mij geholpen hebben om met hen in contact te komen. De respondenten waren bereid om tijd vrij te maken in hun drukke agenda voor het afleggen van interviews. Zij gaven mij bovendien een goede kijk over hun werkwijze betreffende de uitvoering van digitaal forensisch onderzoek in de private opsporingssector. Hiervoor mijn oprechte dank. Verder wil ik graag mijn ouders bedanken voor de mogelijkheid die zij mij gaven om na mijn opleiding informatica verder te studeren. Mijn opleiding heeft mij goed vooruit geholpen in de totstandkoming van dit onderzoek. Tenslotte wil ik eveneens al mijn vrienden, en in het bijzonder scoutsgroep Savio, studentenkring Crimen en mijn broer Constantin van Outryve d Ydewalle, bedanken voor hun aanmoedigingen, de nodige ontspanning en morele steun gedurende de voorbije academiejaren. En voor diegene die mijn meesterproef kritisch hebben nagelezen voor het opsporen van mogelijke (spellings)fouten, bedankt! Damien van Outryve d Ydewalle Leuven, 10 augustus 2011 II
INHOUDSTAFEL SAMENVATTING... I DANKWOORD... II INHOUDSTAFEL... III LIJST AFKORTINGEN... V LIJST AFBEELDINGEN... VII LIJST BIJLAGEN... VIII 1 INLEIDING... 1 2 FENOMEENANALYSE... 2 2.1 Computercriminaliteit... 2 2.1.1 Evoluties in computer en computercriminaliteit... 2 2.1.2 Algemene omschrijving van computercriminaliteit... 3 2.1.3 Strafrechtelijke aspecten... 5 2.1.4 Het fenomeen computercriminaliteit in België... 9 2.2 Digitaal forensisch onderzoek... 11 2.2.1 Computer forensisch en digitaal bewijsmateriaal... 11 2.2.2 Digitale onderzoeksmethoden... 14 2.2.3 Kwaliteit van het bewijs... 17 2.2.4 Aspecten van Strafvordering... 18 2.3 Reguliere opsporing... 20 2.3.1 Korte geschiedenis... 21 2.3.2 Organisatie... 22 2.3.3 Taakstelling van de Computer Crime Units... 23 2.3.4 Knelpunten... 24 2.4 Private opsporing... 27 2.4.1 Theoretisch kader... 28 2.4.2 Organisaties in België... 31 2.4.3 Wettelijke aspecten... 32 2.4.4 Knelpunten... 34 3 METHODOLOGIE... 36 3.1 Probleemstelling en onderzoeksvragen... 36 3.2 Dataverzamelingsmethode... 38 3.2.1 Samenstelling van de onderzoekspopulatie... 38 3.2.2 Diepte-interview als dataverzamelingsmethode... 39 3.3 Data-analyse... 39 3.4 Kwaliteit van het onderzoek... 40 3.4.1 Validiteit... 40 3.4.2 Betrouwbaarheid... 40 III
4 RESULTATEN... 41 4.1 Bestrijding van computercriminaliteit... 41 4.1.1 Begrip computercriminaliteit... 41 4.1.2 Evoluties van computer en computercriminaliteit... 42 4.1.3 Rol private opsporing... 43 4.2 Digitaal bewijsmateriaal... 44 4.2.1 Digitaal forensisch onderzoek... 44 4.2.2 Kwaliteit bewijsmateriaal... 46 4.2.3 Doel van digitaal bewijsmateriaal... 47 4.3 Samenwerking... 47 4.4 Knelpunten... 49 5 DISCUSSIE... 50 5.1 Digitaal forensisch onderzoek... 50 5.2 Vergunning... 52 5.3 Opleidingen... 54 5.4 Private of reguliere opsporing?... 55 6 CONCLUSIE... 58 6.1 Terugkoppeling naar onderzoeksvragen... 58 6.2 Aanbevelingen... 60 7 BIBLIOGRAFIE... 61 8 BIJLAGEN... 72 IV
LIJST AFKORTINGEN Afkorting Beschrijving Art. Artikel BIOS Basic Input and Output System BOGO Bijstand en Opsporingen in Geautomatiseerde Omgevingen BRD Bijzondere Recherche Dienst CBO Centraal Bureau der Opsporingen CCU Computer Crime Unit CD Compact Disk COL Omzendbrief van het College van Procureurs-generaal DFRW Digital Forensics Research Workshop DOJ US Department Of Justice DOS Disk Operating System DVD Digital Video Disk FBI Federal Bureau of Investigation FCCU Federal Computer Crime Unit FGP Federale Gerechtelijke Politie FTK Forensics Toolkit GPP Gerechtelijke Politie bij de Parketten GPS Global Positioning Satellite/System GSM Global System for Mobile communication HOLMES 2 Home Office Large Major Enquiry System 2 ICT Informatie en Communicatie Technologie IFA Institute of Forensic Auditing MD5 Message Digest algorithm 5 MFO Mission Fédérale/Federale Opdrachten (omzendbrieven) NCCU National Computer Crime Unit NFI Nederlands Forensisch Instituut NICC Nationaal Instituut voor Criminologie en Criminalistiek NIST National Institute of Standards and Technology NVP Nationaal VeiligheidsPlan PC Personal Computer V
Afkorting Beschrijving PDA Personal Digital Assistant PDF Portable Document File PJF Police Judiciaire Fédérale (Nederlands: zie FGP) RCCU Regional Computer Crime Unit SHA1 Secure Hash Algorithm 1 Sv. Wetboek van Strafvordering Sw. Strafwetboek SWGDE Scientific Working Group on Digital Evidence US United States (Nederlands: Verenigde Staten, VS) USB Universal Serial Bus WIC Wet op Informatica Criminaliteit WODC Wetenschappelijk Onderzoeks- en Documentatie Centrum WWW World Wide Web XML Extensible Markup Language XP Experience VI
LIJST AFBEELDINGEN Afbeelding 1: Cyber- en computercriminaliteit als ideaaltypen van high-tech crime... 4 Afbeelding 2: Aantal geregistreerde informaticacriminaliteit per jaar... 10 Afbeelding 3: Aantal geregistreerde computercriminaliteit per jaar (categoriaal)... 10 Afbeelding 4: Processchema McKemmish... 12 Afbeelding 5: Organogram Federal Computer Crime Unit... 22 VII
LIJST BIJLAGEN Bijlage 1 Verklarende woordenlijst... 72 Bijlage 2 Forensische onderzoekstechnieken per criminaliteitsvorm... 75 Bijlage 3 Topiclijst... 78 Bijlage 4 Codeboom... 80 Bijlage 5 Computer Criminology program course descriptions... 81 VIII
1 INLEIDING De snelle evolutie in digitale technologieën creëert tal van nieuwe uitdagingen op vlak van digitaal forensisch onderzoek. Zowel nieuwe en grotere gegevensdragers als de complexiteit van digitale gegevens zorgen voor constante uitdagingen wat betreft het verzamelen van digitaal bewijsmateriaal. Daarenboven neemt het aantal informatica-gerelateerde misdrijven jaarlijks toe (Computer Emergency Response Team, 2009; Federale Gerechtelijke Politie - Directie economische & financiële criminaliteit, 2011, p. 51). Hierdoor stijgt de nood naar forensische technieken en naar tools om aanvallen te detecteren en/of tegen te gaan. Vandaag staan een groot aantal tools ter beschikking van de forensische onderzoeker, elk met zijn voor- en nadelen (Carrier, 2003, p. 1). Anno 2011 is veiligheid geen exclusieve taak meer van de overheid. De overheid treedt niet meer op als de exclusieve instantie die burgers beschermt tegen criminaliteit en daders tracht op te sporen (Degroote, Deroose, & Haelterman, 2007, p. 500; Hoogenboom, 1986, p. 21; Hutsebaut, 2010; Rosenthal & Hoogenboom, 1990, pp. 1-13; Van De Bunt & Swaaningen, 2005, pp. 6-8; Van Outrive, 1995, pp. 198-199). In dit onderzoek wordt de rol van de private opsporing in de bestrijding van computercriminaliteit en het afleveren van digitaal bewijsmateriaal onderzocht. Weinig onderzoek werd in dit veld gedaan. Ook in België bestaat weinig informatie over het fenomeen computercriminaliteit en de uitvoering van digitaal forensisch onderzoek. Een verkennend onderzoek werd daarom noodzakelijk geacht. In deze meesterproef worden eerst de belangrijke concepten inzake het onderzoek beschreven, bijvoorbeeld: Wat is computercriminaliteit? Wat is digitaal forensisch onderzoek? Wat is digitaal bewijsmateriaal? De reguliere opsporingsdiensten inzake digitaal forensisch onderzoek worden voorgesteld, gevolgd door de private opsporingsdiensten. In Hoofdstuk 3 worden de methodologische aspecten van het kwalitatief onderzoek behandeld. Eerst worden de probleemstelling en de onderzoeksvragen weergegeven. Nadien wordt de steekproeftrekking van de respondenten besproken. In een tweede en derde onderverdeling wordt respectievelijk ingegaan op de dataverzameling en de data-analyse. Daarna wordt er ingegaan op de methodologische kwaliteit van het onderzoek. In Hoofdstuk 4 worden de resultaten besproken. Er wordt getracht antwoorden te formuleren op de vier vooropgestelde onderzoeksvragen om zo conclusies te kunnen trekken uit het kwalitatief onderzoek. In het voorlaatste hoofdstuk wordt op basis van een kritische reflectie en in het licht van de literatuur een aantal bevindingen van het onderzoek geformuleerd. Tenslotte wordt een algemene conclusie en aanbevelingen voor verder onderzoek voorgesteld. 1
2 FENOMEENANALYSE In dit gedeelte worden de belangrijkste componenten beschreven. In eerste instantie wordt een omschrijving gegeven over de inhoud van computercriminaliteit. Vervolgens wordt kort uitgelegd wat digitaal forensisch onderzoek is. In het derde deel wordt de reguliere opsporingsdiensten inzake digitaal forensisch onderzoek besproken. Ten laatste wordt de private opsporingsdiensten toegelicht. 2.1 Computercriminaliteit De virtuele expansie van de World Wide Web (WWW) zorgt voor een ingrijpende toename van communicatie tussen mensen. Het internet wordt onder andere steeds meer gebruikt voor financieeleconomische transacties. Hoewel het internet zeer gebruiksvriendelijk is en zijn nut bewijst, heeft het een donkere zijde (Kane & Portin, 2008, p. 7; Taylor & Loper, 2003, pp. 586-587). De snelle evolutie van computers en van computercriminaliteit heeft geleid tot een verscheidenheid aan definities. 2.1.1 Evoluties in computer en computercriminaliteit Elke nieuwe technologie en software gaan gepaard met criminele opportuniteiten (Kane & Portin, 2008, p. 7). De daders zien als het ware hun kans op een relatief onontgonnen terrein. Bij de ontwikkeling van de telegraaf in de 19 de eeuw, bijvoorbeeld, waren er reeds geïnteresseerden bezig met het onderscheppen van boodschappen. De ontdekking van de telefoon werd snel gevolgd door criminele samenzweringen. De ontwikkeling van het internet in de late jaren 60 van de vorige eeuw werd meteen een nieuw terrein voor criminelen (Grabosky, 2007, p. 5). Parker (1976) was één van de eerste auteurs die beschreef hoe computers gebruikt werden om input en output zodanig te vervalsen dat er financiële voordelen werden verkregen. Vaughan (1983) beschrijft hoe een grote apotheekketen aan de hand van een computer dubbele facturering genereerde waardoor de zorgverzekering overspoeld werd met aangiftes voor teruggave. In 2000 gebruikten ongeveer 6,8% van de mensen wereldwijd (met andere woorden: 393 miljoen mensen) het internet. Tegen 2008 was dit gestegen tot 23,9% (1,6 miljard) van de mensen wereldwijd, een verviervoudiging. Het aantal internetgebruikers blijft dagelijks groeien. Voor wat 2
België betreft waren er in 2000 maar liefst 29,3% (3 miljoen) van de Belgen verbonden met het internet en steeg dit in 2008 tot 68,1% (7,3 miljoen) (The World Bank, 2011). In de EU zijn er meer dan 273 miljoen internetgebruikers. Dit komt overeen met 55,7% van de EU-bevolking vergeleken met 16,2% voor de rest van de wereld. In december 2007 was Europa verantwoordelijk voor 26,4% van het wereldwijde internetgebruik. Het internetgebruik in Europa is met meer dan 230% gestegen tussen 2000 en 2007, net onder het wereldwijde gemiddelde van 265%. Europa moet alleen Azië, met 348 miljoen internetgebruikers, voor laten gaan. Europa evolueert op het gebied van internetgebruik duidelijk sneller dan andere regio s in de wereld (Kane & Portin, 2008, p. 12). Het zich snel ontwikkelende internet verbeterde de efficiëntie van telecommunicatie voor gebruikers, maar was eveneens kwetsbaar voor ongewenste activiteiten. Zo kunnen individuen zonder toestemming toegang verkrijgen tot een computersysteem. Degenen die onschuldig een ander zijn computersysteem exploreren en zelfs verbeteringen aanbrengen, worden hackers genoemd. De term crackers verwijst naar degenen die om kwaadaardige redenen gebruik maken van de toegang (om bijvoorbeeld gegevens te verwijderen, bankgegevens te kopiëren, etc.). In 1988 maakte een informatica-student aan de Cornell University een programma dat zich snel over het internet kon verspreiden. De zogenaamde worm zorgde voor het overbelasten van het computersysteem alsook van het internet zelf. Recentere ontwikkelingen van computercriminaliteit zijn computervirussen, kinderpornografie en het gebruik van computers door dieven om beveiligingssystemen te omzeilen (Grabosky, 2007, pp. 5-7). 2.1.2 Algemene omschrijving van computercriminaliteit Tijdens de zoektocht naar een algemene definitie voor computercriminaliteit blijkt er een heel arsenaal aan terminologie beschikbaar. Deze worden al dan niet in combinatie gebruikt met de voorvoegsels cyber, computer, e-, internet, etc. (Britz, 2009, p. 5; Weimann, 2005, p. 135). Zo brengt The Parliament Joint Committee on the Australian Crime Commission (2004, p. 5) de verschillende begrippen met elkaar in verband. Volgens de afdeling Communicatie van de Europese Commissie (2009) is er sprake van uiteenlopende begrippen en definities. Vanwege de grote verscheidenheid aan verschijningsvormen van high-tech crime lijkt het te vroeg voor het formuleren van een consistent begrippenkader. Begrippen worden te pas en te onpas overgenomen, willekeurig toegepast, vertonen inhoudelijke overlapping of juist belangrijke lacunes (Furnell, 2001, p. 6). Dit zorgt voor verwarring, onduidelijkheid en uiteenlopende gebruiken en interpretaties (Van Der Hulst & Neve, 2008, p. 37). 3
In een onderzoeksrapport van het WODC (Van Der Hulst & Neve, 2008, p. 35) wordt de overkoepelende term high-tech crime voor cybercriminaliteit en computercriminaliteit gehanteerd. De term cybercriminaliteit wordt gedefinieerd als alle (traditionele) criminele activiteiten waarbij ICT (Informatie en Communicatie Technologie) als instrument wordt gebruikt, zonder dat ICT expliciet doelwit is van de criminele activiteit (Van Der Hulst & Neve, 2008, p. 39). Vervolgens wordt de term computercriminaliteit gebruikt voor alle criminele activiteiten waarbij ICT als instrument wordt gebruikt en waarbij ICT expliciet doelwit is van de criminele activiteit (Van Der Hulst & Neve, 2008, p. 40). Het verschil tussen cyber- en computercriminaliteit ligt dus bij het doelwit. Onderstaande afbeelding geeft het continuüm weer waarbij computer- en cybercriminaliteit als elkaars tegenpolen wordt gezien (Van Der Hulst & Neve, 2008, p. 40). Afbeelding 1: Cyber- en computercriminaliteit als ideaaltypen van high-tech crime Computercriminaliteit bestaat in verscheidene vormen waardoor het classificeren ervan geen sinecure is. Er bestaan diverse wijzen om computercriminaliteit in te delen (Grabosky, 2007, p. 11). Het National Institute of Justice (2001, pp. 35-43; Conely & McEwen, 1990, p. 2) noemt zes verschillende categorieën van computercriminaliteit: interne computercriminaliteit (vb.: Trojaans paard, computervirussen, etc.), telecommunicatiemisdrijven (vb.: hacking), computermanipulatie (vb.: fraude), computergebruik ter ondersteuning van ondernemingsmisdrijven (vb.: gokken, witwasserij, etc.), hard- en software diefstal en tenslotte schending van de privacy. Computercriminaliteit kan eveneens ingedeeld worden aan de hand van de kwetsbaarheid (software, hardware, netwerk en computergegevens), of aan de hand van de bron van het misdrijf (insiders of outsiders) (Taylor & Loper, 2003, p. 596). Carter (1995, p. 10) categoriseert computercriminaliteit in vier groepen, namelijk: de computer als doelwit (programma s werken anders dan verwacht of de gegevens worden gewijzigd), de computer als een instrument voor een misdrijf (vb.: fraude, cyberstalking, etc.), de computer ten dienste van het misdrijf (vb.: witwasserij, kinderpornografie, 4
etc.) en tenslotte misdrijven geassocieerd met de veelvuldigheid van computers (vb.: piraterij, spam, etc.). De gehanteerde definitie voor computercriminaliteit komt overeen met de omschrijving van Taylor en Loper (2003, p. 586). Zij omschrijven computercriminaliteit als alle illegale acties opgenomen in het Strafwetboek waarbij computerkennis of technologie gebruikt wordt. Naast computercriminaliteit gebruiken Taylor en Loper de term computermisbruik als alle intentionele acties die niet in het strafrecht voorkomen, waarbij kennis over, of de technologie van, computer gebruikt wordt om buit te halen en waarbij het slachtoffer een verlies ervaart. In dit onderzoek wordt gefocust op de vormen die strafbaar gesteld worden. 2.1.3 Strafrechtelijke aspecten In het Belgische Strafwetboek worden een aantal activiteiten strafbaar gesteld. Voorafgaand aan de bespreking van de strafrechtelijke aspecten is het belangrijk te wijzen op het onderscheid tussen specifieke en aspecifieke computercriminaliteit. Onder aspecifieke computercriminaliteit worden misdrijven verstaan waarbij computers en netwerken gebruikt worden zoals het verspreiden van kinderpornografie op het internet, racistische propaganda in nieuwsgroepen, inbreuken op het auteursrecht, etc. Deze misdrijven zijn in essentie uitingen van nieuwe operandi van bestaande misdrijven tegen bestaande rechtsbelangen. Onder specifieke computercriminaliteit worden aanvallen tegen computers en netwerken verstaan zoals computerinbraak, computervirussen, DOSattack, etc. Deze misdrijven kunnen niet herleid worden tot traditionele misdrijven tegen personen en/of eigendommen (Deene & Nerinckx, 2007, p. 5). Met de wet van 28 november 2000 inzake informaticacriminaliteit 1, hierna WIC genaamd, en de wet van 15 mei 2006 tot wijziging van de wet van 28 november 2000 inzake informaticacriminaliteit 2 werd in België voor het eerst een heel arsenaal maatregelen in het Strafwetboek en in het Wetboek van Strafvordering ingelast die tot doel hadden de steeds maar toenemende en met de oude wetgeving bijna niet aan te pakken computercriminaliteit te kunnen vervolgen. Er werden in deze wetten zowel nieuwe strafbepalingen opgenomen als bijkomende instrumenten op vlak van het gerechtelijk onderzoek ingevoerd (De Muynck, 2004, p. 91; Deene & Nerinckx, 2007, pp. 7-13; 1 Wet 28 november 2000 inzake informaticacriminaliteit, B.S. 3 februari 2001. 2 Wet 15 mei 2006 tot wijziging van de artikelen 259bis, 314bis, 504quater, 550bis en 550ter van het Strafwetboek, B.S. 12 september 2006. 5
Nerinckx, 2004, pp. 5-8). De bestaande Belgische wetgeving werd hierdoor gemoderniseerd en zorgde ervoor dat er afdoende opgetreden kan worden tegen informatica-gerelateerde misdrijven. In het Strafwetboek werden vier nieuwe misdrijven ingevoerd die in de volgende paragrafen verder uitgeklaard worden: valsheid in informatica, informaticabedrog, datamanipulatie en computerinbraak. De namen geven reeds weer dat het overwegend gaat om bewerkingen van klassieke misdrijven. Hierdoor wordt er een einde gemaakt aan discussies die al geruime tijd woedden in rechtspraak en rechtsleer over de mogelijke toepasbaarheid van de meer traditionele bepalingen in de nieuwe context van de informatiemaatschappij (ICRI, 2004, p. 1). Er moet rekening gehouden worden met artikel 3 van het Strafwetboek dat bepaalt dat enkel misdrijven die gepleegd werden op het grondgebied van het Rijk gestraft kunnen worden overeenkomstig de bepalingen van de Belgische wetten. De vraag wat als een Belg via zijn computer in België een misdrijf pleegt via het internet in een ander, al dan niet Europees land, wordt dan meteen gesteld. Extraterritoriale werking van het strafrecht is enkel van toepassing in de gevallen bepaald bij wet zoals bijvoorbeeld terrorisme. 3 Maar dit artikel is niet van toepassing op websites met illegale inhoud (Beirens, 2009). Materieel strafrecht zorgt voor de strafrechtelijke bescherming ten aanzien van een aantal rechtsgoederen in de context van de informatietechnologie. De wetten van 2000 en 2006 hebben ervoor gezorgd dat er aan de bestaande bescherming van rechtsgoederen een nieuwe of aangepaste technologische omschrijving werd ingevoegd (Deene & Nerinckx, 2007, pp. 7-13). Computerinbraak Computerinbraak of hacking is een nogal vage term en zelfs informaticaspecialisten zijn het onderling vaak oneens over de handelingen die hieronder gevat kunnen worden. Een mogelijke verklaring kan gevonden worden door de houding van de hackers (de personen die er zich mee bezig houden). Hackers omgeven zich vaak met een waas van obscuriteit en vermijden zich bekend te maken of het onthullen van hun precieze activiteiten aan de buitenwereld (ICRI, 2004, p. 6). Het WIC beschouwt het ongeoorloofd binnendringen in een computersysteem of het zich daarin handhaven hoewel de persoon weet dat hij daarvoor geen toestemming heeft als computerinbraak 4. Ongeoorloofde toegang tot een computersysteem behoort tot de specifieke computercriminaliteiten (Deene & Nerinckx, 2007, pp. 27-39; Nerinckx, 2004, pp. 18-28). In de wet wordt uitdrukkelijk 3 Art. 4 Sw. 4 Art. 550bis Sw. 6
gesteld dat iedereen die zich toegang verschaft tot een computersysteem en weet dat hij daartoe niet gerechtigd is, gestraft kan worden. Bedrieglijke opzet is een verzwarende omstandigheid evenals de voorbereiding kan gestraft worden (De Muynck, 2004, pp. 91-93). De wet maakt bij de beoordeling van de strafbaarheid een onderscheid tussen interne hackers (insiders) en externe hackers (outsiders). De term interne hackers omvat iedereen die weliswaar een bepaalde toegangsbevoegdheid heeft tot een bepaald systeem (bv. werknemers) maar deze bevoegdheid overschrijdt. Deze categorie is enkel strafbaar indien gehandeld wordt met de bedoeling om te schaden of met bedrieglijk opzet. Voor externe hackers bestaat deze beperking niet en volstaat een algemeen opzet. Dit is vooral belangrijk omdat hierdoor externe hackers die een systeem kraken met goede bedoelingen (zoals het opsporen van fouten in een systeem) eveneens gestraft kunnen worden. Indien een interne hacker ditzelfde zou doen, zou hij niet gestraft kunnen worden via dit artikel (ICRI, 2004, p. 6). Op 24 maart 2004 oordeelde het hof van beroep die zich over een prejudiciële vraag moest buigen dat de scheiding tussen interne en externe hackers beschreven in artikel 550bis van het Strafwetboek niet in strijd was met de artikels 10 en 11 van de grondwet (namelijk de beginselen gelijkheid en niet-discriminatie). 5 Ongeoorloofde toegang tot computernetwerken wordt niet besproken in de bestaande wetgeving (Deene & Nerinckx, 2007, p. 30). De rechtbank van eerste aanleg in Dendermonde veroordeelde wel iemand die vanuit zijn wagen zichzelf de toegang verschafte tot een draadloos netwerk van iemand anders. De rechtbank beschouwde dit als externe hacking. Externe hacking van een draadloos netwerk dient beschouwd te worden als een vorm van diefstal. Niet alleen wordt er ongeoorloofd toegang tot een netwerk genomen, tevens wordt er op die wijze downloadcapaciteit van de eigenaar van het netwerk ontnomen. 6 Datasabotage Sabotage van gegevens heeft betrekking op de invoer, de wijziging en/of de verwijdering van gegevens met als doel schade te berokkenen. Dit aspect heeft onder meer betrekking op het fenomeen van de computervirussen en computerwormen. De WIC stelt in artikel 550ter van het Strafwetboek uitdrukkelijk dat als dergelijke manipulaties tot gevolg hebben dat er schade wordt berokkend aan de gegevens van het computersysteem of aan het computersysteem zelf, er zware 5 Arbitragehof 24 maart 2004, nr. 51/2004, B.S. 29 juni 2004, 90.1 6 Corr. Dendermonde 14 november 2008, 20.L3.1531/08/26 7
straffen worden opgelegd (De Muynck, 2004, pp. 94-95). Daarnaast is het ontwikkelen, het ter beschikking stellen, het verspreiden of het commercialiseren van computervirussen (datasabotagetools) eveneens strafbaar (De Muynck, 2004, pp. 94-95; ICRI, 2004, p. 7). De strafbaarstelling van computerinbraak en datasabotage is een specifiek of typisch computermisdrijf (Deene & Nerinckx, 2007, pp. 39-43; Nerinckx, 2004, pp. 28-30). Valsheid in informatica Iedereen die gegevens door middel van een computersysteem opslaat, verwerkt of overdraagt, invoert, wijzigt, wist of met gebruik van technologische middelen de mogelijke aanwending van deze gegevens in het systeem verandert en op die manier de juridische draagwijdte van die gegevens wijzigt, kan veroordeeld worden voor valsheid in informatica (De Muynck, 2004, p. 95). 7 Hiermee werd er een einde gesteld aan de discussie of de klassieke bepalingen en voorwaarden van de valsheid in geschriften toegepast konden worden op gegevens in een informaticacontext (Deene & Nerinckx, 2007, pp. 17-22; Nerinckx, 2004, pp. 11-15). Het hof van beroep te Luik oordeelde in 1992: "Pour être punissable, le faux en écriture doit se produire dans un écrit, quel que soit le procédé mis en œuvre pour sa réalisation. Les données informatiques appelées par l opérateur sur l écran de son ordinateur ne sont que des impulsions magnétiques ne constituant pas des écrits au sens de la loi mais peuvent être l instrument de leur réalisation; la modification frauduleuse desdites données ne produira un écrit faux qu à condition qu elles soient inscrites sur un support matériel, quel qu il soit (papier, disquette ou disque dur )". 8 Dit had heel wat interpretatieproblemen tot gevolg (ICRI, 2004, p. 4). Informaticabedrog Er is sprake van informaticabedrog indien diegene voor zichzelf of voor een ander een bedrieglijk vermogensvoordeel verwerft en dit door gegevens die worden opgeslagen, verwerkt of overgedragen door middel van een computersysteem, in een computersysteem in te voeren, te wijzigen, te wissen of met enig ander technologisch middel de mogelijke aanwending van gegevens in een informaticasysteem verandert. 9 Zowel het plegen van, als de poging tot informaticabedrog worden strafbaar gesteld (De Muynck, 2004, pp. 95-96). Informaticabedrog is in feite een 7 Art. 210bis Sw. 8 Luik, 26 februari 1992, J.L.M.B., 1992, 1346 9 Art. 504quater Sw. 8
gemoderniseerde versie van de klassieke oplichting (ICRI, 2004, p. 5). 10 Waar het gebruik van bedrieglijke middelen een constitutief bestanddeel is van de klassieke oplichting, wordt bij informaticabedrog de manipulatie van gegevens in een computersysteem strafbaar gesteld. Dit onderscheid kwam er na controversie bij juristen (Deene & Nerinckx, 2007, pp. 23-27; ICRI, 2004, pp. 5-6; Nerinckx, 2004, pp. 15-18). Illegale onderschepping van (tele)communicatie Tenslotte wordt in artikels 259bis en 314bis van het Strafwetboek bepaald dat het misbruiken van instrumenten of informaticagegevens die kunnen gebruikt worden voor illegale onderschepping van communicatie of telecommunicatie strafbaar is. Vaak worden programmaturen die normaal gebruikt worden door systeembeheerders misbruikt voor illegale onderscheppingen (Deene & Nerinckx, 2007, pp. 43-45). Artikel 259bis van het Strafwetboek geldt enkel voor openbaar officieren of ambtenaren, dragers of agenten van de openbare macht. Artikel 314bis van het Strafwetboek heeft betrekking op iedereen. 2.1.4 Het fenomeen computercriminaliteit in België Het is zeer moeilijk om een correct beeld van computercriminaliteit te geven. Veel mensen beseffen niet dat ze slachtoffer zijn van computercriminaliteit. En indien personen het beseffen, weten ze niet waar ze hun klacht kunnen neerleggen. De nationale politiële criminaliteitsstatistiek van de Federale Gerechtelijke Politie (2011, p. 4) (zie Afbeelding 2) toont een opmerkelijke stijging van aantal geregistreerde informaticacriminaliteit tussen 2005 en 2010. Een verklaring voor deze stijging wordt niet teruggevonden in het verslag. Volgens een jaarverslag van de Federale Gerechtelijke Politie (2008, p. 88) is de stijging van het aantal geregistreerde feiten in 2007 ten opzichte van 2006 zeer expliciet. Ongetwijfeld is er sprake van een reële stijging, maar een deel van de stijging kan te wijten zijn aan de vereenvoudigde vattingsprocedure. Dit effect speelt in 2008 niet meer. Volgens een recenter jaarverslag van de Federale Gerechtelijke Politie (2011, p. 51) kent het aantal feiten binnen het fenomeen informaticacriminaliteit al jaren een constante stijging; de evolutie van 2007 naar 2010 vertoont een stijging met 78%. Een groot deel van de inbreuken (pogingen en feiten) betreft betaalkaartfraude, die dezelfde gerechtelijke kwalificatie hebben. Afbeelding 3 geeft een 10 Art. 496-504 Sw. 9
tabel weer waarin het aantal geregistreerde informaticacriminaliteit per jaar in categorieën wordt getoond. Informaticacriminaliteit 11629 14038 7711 9075 4320 5731 2005 2006 2007 2008 2009 2010 Afbeelding 2: Aantal geregistreerde informaticacriminaliteit per jaar 2005 2006 2007 2008 2009 2010 Informaticabedrog 3332 4808 6895 8084 10479 12721 Hacking 305 350 406 524 676 807 Valsheid in informatica 522 542 353 418 399 442 Sabotage 1 7 57 49 75 68 Niet nader bepaald 160 24 0 0 0 0 Totaal 4320 5731 7711 9075 11629 14038 Afbeelding 3: Aantal geregistreerde computercriminaliteit per jaar (categoriaal) In 2010 is met onder andere de gebeurtenissen rond WikiLeaks duidelijk geworden dat voornamelijk de vertrouwelijkheid van informatie erg in het gedrang komt en dat de cyberomgeving zowel gebruikt wordt als middel om die informatie te verzamelen als om ze te verdelen. Volgens de Federale Gerechtelijke Politie (2011, pp. 51-52) kon tijdens de WikiLeaks-affaire worden vastgesteld dat cyberactivisten zich via sociale netwerken zeer snel kunnen organiseren om over te gaan tot cyberaanvallen waarbij erin geslaagd wordt kritische ICT-systemen buiten werking te stellen. 10
2.2 Digitaal forensisch onderzoek In de vorige paragraaf werd het begrip computercriminaliteit gedefinieerd. In deze paragraaf wordt digitaal forensisch onderzoek verklaard. Computercriminaliteit wordt aan de hand van digitaal forensisch onderzoek onderzocht. Maar digitaal forensisch onderzoek kan gebruikt worden om andere types van criminaliteit te onderzoeken. De afgelopen dertig jaar heeft de computertechnologie een enorme invloed op de misdaadbestrijding gehad. Het vermogen om grote hoeveelheden gegevens op te slaan, patronen te herkennen en onvoorstelbaar snel te werken, stelde computeronderzoekers en politiemensen in staat om informatie op een heel nieuwe manier te gebruiken. Onderzoeksteams zijn niet langer uitsluitend aangewezen op plaatselijk bewijs en plaatselijke kennis (Britz, 2009, p. 266; Fullick, 2005, p. 52). Zo gebruiken de politiediensten in het Verenigd Koninkrijk het computerprogramma HOLMES 2 als ondersteuning bij het uitvoeren van een onderzoek naar een moord- of fraudezaak. HOLMES 2 is een managementsysteem die politiediensten moet helpen om de complexe processen van ernstige criminaliteit op te lossen (Unisys). Dit programma kwam er naar aanleiding van de seriemoordenaar Peter Sutcliffe (alias The Yorkshire Ripper ). De politie verzamelde grote hoeveelheden bewijs en sprak met duizenden mannen. Maar door het ouderwetse, op papier gebaseerde archiveringssysteem, lukte het niemand om de juiste verbanden te leggen (Fullick, 2005, p. 52). Een ander voorbeeld is het programma dat gecreëerd werd door de politie van West Midlands in samenwerking met een team forensische psychologen. Zij ontwikkelden een programma dat psychologische profilering van de manier waarop verschillende inbrekers te werk gaan, koppelt aan de patronen van inbraken in een gebied. Gedetailleerd forensisch bewijs dat op elke plaats van delict is verzameld wordt in de computer ingevoerd. Op die manier kan de politie niet alleen mogelijke daders opsporen maar ook voorspellen waar inbrekers opnieuw zullen toeslaan en welke wijken het grootste risico lopen (Fullick, 2005, p. 53). 2.2.1 Computer forensisch en digitaal bewijsmateriaal Forensisch betekent dat verkregen informatie of gegevens op een geschikte wetenschappelijke manier voorgesteld worden om zo erkend te worden als feit en gebruikt te worden als bewijs in een strafzaak (Casey, 2004, p. 20; Van de Voorde, Decorte, Tytgat, & Cuypers, 2010, p. 113). Wetenschappelijk onderzoek op digitale gegevens is dus een forensische discipline wanneer deze gekoppeld wordt aan een opsporingsonderzoek en tot de vervolging van een misdrijf kan leiden. Daarnaast kan het onderzoeken van individuele stukken van digitale gegevens, aan de hand van 11
wetenschappelijke technieken en theorieën, forensische wetenschappers helpen om het misdrijf te reconstrueren (Casey, 2004, p. 21). Naast de benaming computer forensisch worden nog een aantal andere benamingen gebruikt zoals digitaal bewijsmateriaal, digitaal rechercheren, netwerk forensisch, etc. (Guo, Slay, & Beckett, 2009, p. 12; Lin, 2008, p. 26). McKemmish (1999, pp. 1-2) definieert computer forensisch als: the process of identifying, preserving, analyzing and presenting digital evidence in a manner that is legally acceptable. Uit deze definitie kunnen vier componenten afgeleid worden, namelijk: identificeren, instandhouden, analyseren en presenteren. Luc Beirens (2003, p. 123), diensthoofd van de Federal Computer Crime Unit (FCCU), omschrijft forensisch ICT onderzoek als: Het forensisch ICT onderzoek streeft ernaar om op rechtmatige wijze relevante digitale gegevens die zijn opgeslagen in ICT-systemen op te sporen, te recupereren en te vrijwaren met het oog op een eventuele aanwending in een gerechtelijke procedure. De gegevens dienen omgezet te worden in een interpreteerbare vorm (leesbaar, zichtbaar, hoorbaar, berekenbaar, uitvoerbaar) en geplaatst te worden in een referentiekader waarbinnen ze zijn teruggevonden, opdat er een correcte interpretatie aan gegeven kan worden. Hoewel de benamingen verschillen, blijft de algemene doelstelling dezelfde, met name het geïdentificeerde bewijs presenteren, rekening houdend met de justitiële richtlijnen (Leigland & Krings, 2004, p. 1; Ryder, 2002, p. 3). Hieronder worden de vier verschillende componenten uit de definities van McKemmish en Beirens verklaard. Afbeelding 4: Processchema McKemmish Identificatie is het eerste proces waarbij het bewijsmateriaal geïdentificeerd wordt, waar en hoe deze bewaard wordt, en welk besturingssysteem (vb.: Windows XP, Vista, Unix, etc.) gebruikt wordt. Met deze informatie kan de onderzoeker beslissen welk de geschikte recovery methode is en welke technieken hij zou kunnen gebruiken (Ryder, 2002, p. 2). Bij het zoeken naar en het opnemen van sporen geldt als eerste beginsel, zoals dat trouwens ook van toepassing is op andere forensische onderzoeken, het primum nihil nocere. Indien de onderzoeker bruikbaar bewijsmateriaal wil vinden dan moet de onderzoeker er allereerst voor zorgen dat niets toegevoegd, vernietigd of verborgen wordt tijdens het onderzoek (Van de Voorde, Decorte, Tytgat, & Cuypers, 2010, p. 118). Een grondige kennis van alle mogelijke types van bewijsmateriaal, hun mogelijkheden en correcte 12
opname-/bewaringstechnieken is noodzakelijk (Eckert, 1997, pp. 44-51; Saferstein, 2006, p. 80; Siegel, Saukko, & Knupfer, 2000, p. 36; Van De Voorde, 2009, p. 188). Vervolgens is instandhouding het proces waarbij de integriteit van het digitaal bewijsmateriaal in stand wordt gehouden. Aan de hand van reproduceerbare methoden dienen de gegevens die nodig zijn voor het onderzoek gekopieerd te worden naar een andere digitale gegevensdrager (vb.: externe harde schijf, USB-stick, DVD, etc.). Alle stappen die ondernomen werden, moeten goed genoteerd en gedocumenteerd worden. Alle wijzigingen aan het bewijsmateriaal moeten eveneens gedocumenteerd worden (wat is er gewijzigd, waarom is het gewijzigd, etc.). De integriteit van het bewijsmateriaal moet bewezen worden in de rechtbank (Guo, Slay, & Beckett, 2009, p. 13; Ryder, 2002, p. 2). In de analysefase worden de verkregen gegevens herzien en geëxamineerd. Het voordeel dat de gegevens gekopieerd werden op een ander digitale gegevensdrager is dat deze originele gegevens onaangetast blijven. Hierdoor blijft de integriteit van het bewijsmateriaal bewaard (Ryder, 2002, p. 2). Het bewijsmateriaal moet op een wetenschappelijke wijze worden onderzocht volgens de criteria waarmee wetenschappelijke onderzoeksmethoden worden toegepast. Een wetenschappelijk onderzoek bestaat fundamenteel uit een kritische onderzoeksvraag die methodisch wordt benaderd: observatie, verzamelen van gegevens, bewerken van gegevens, interpretatie/hypothese, toetsing van de resultaten, beantwoorden van de vraag. Concreet betekent dit dat het bewijsmateriaal op daartoe geëigende wijze met daartoe geëigende methoden moet worden onderzocht overeenkomstig de huidige stand van de wetenschap. Het forensisch onderzoek moet voldoen aan de algemeen juridisch aanvaarde kwaliteitsnorm (zie 2.2.3 Kwaliteit van het bewijs). De analyse van bewijsmateriaal heeft als hoofddoel de identificatie en individualisatie van het bewijs. Daartoe worden allerhande wetenschappelijk-technische methoden aangewend voor het identificeren van klasse en accidentele eigenschappen. De identificatie van de eigenschappen gebeurt op basis van vergelijkend onderzoek. De grootste bewijskracht kan worden bekomen wanneer de onderzoeker erin slaagt bewijsmateriaal toe te schrijven aan één welbepaalde object (computer, GSM, fototoestel, etc.) of een persoon (dader of slachtoffer) (Eckert, 1997, pp. 44-51; Saferstein, 2006, p. 81; Siegel, Saukko, & Knupfer, 2000, p. 40; Van De Voorde, 2009, p. 188). Tenslotte zorgt het proces van de presentatie voor het presenteren van bewijsmateriaal op een legale, geaccepteerde en verstaanbare manier. Indien het bewijsmateriaal voorgesteld wordt in de 13
rechtbank, dan moet(en) de rechter(s) en, indien aanwezig, de juryleden begrijpen wat gepresenteerd wordt (Ryder, 2002, p. 2). Van de expert wordt verwacht dat hij/zij de onderzoeksresultaten interpreteert. De interpretatie stoelt op objectieve resultaten, bestaande wetenschappelijke kennis en de ervaring van de deskundige. Dit proces is per definitie een subjectief gegeven, maar daarom niet minder waardevol. Zonder interpretatie leidt het forensisch onderzoek immers nergens toe. Wel dient de deskundige volstrekt neutraal te zijn, alle mogelijkheden te onderzoeken en geen enkele mogelijkheid uit te sluiten als dit op grond van de resultaten niet kan (Eckert, 1997, pp. 44-51; Saferstein, 2006, p. 81; Siegel, Saukko, & Knupfer, 2000, p. 41; Van De Voorde, 2009, p. 188; Van de Voorde, Decorte, Tytgat, & Cuypers, 2010, p. 121). In het Belgisch juridisch stelsel worden de resultaten voor de rechter gebracht in de vorm van een schriftelijk verslag. Eerder uitzonderlijk dient de deskundige zijn/haar bevindingen mondeling, via een getuigenis, voor de rechtbank te brengen. Het verslag vermeldt nauwgezet de objectieve vaststellingen en de methoden waarmee de resultaten werden bekomen. Bij de interpretatie worden de gegevens aangehaald waarop de deskundige zich baseert om tot welbepaalde conclusies te komen. Indien meerdere interpretaties mogelijk zijn, moeten deze worden beschreven. Tenslotte moet dit alles in een voor de leek verstaanbare taal worden opgesteld (Van De Voorde, 2009, p. 188). 2.2.2 Digitale onderzoeksmethoden De nood aan forensische onderzoeksmethoden en -technieken is van groot belang. De term onderzoeksmethode verwijst naar de doelstelling die achter de onderzoeksaanpak schuilgaat. Onderzoekstechnieken worden gesitueerd binnen één of meerdere onderzoeksmethoden. Een onderzoekstechniek is het middel, de handeling waarmee een onderzoeksmethode, inclusief de vooropgestelde doelstelling, kan worden gerealiseerd (Ponsaers & Mulkers, 2001, pp. 36-42). Er zijn verschillende onderzoeksmethoden ontwikkeld door forensische onderzoekers, maar deze zijn noch consistent noch gestandaardiseerd (Meyers & Marc, 2004, pp. 1-2; Reith, Carr, & Gunsch, 2002, p. 3). Hieronder worden de belangrijkste onderzoeksmethoden besproken. The Coroner s Toolkit Farmer en Venema (1999) hebben een eigen gids ontwikkeld. Deze gids bevat: Secure and isolate, record the scene, conduct a systematic search for evidence, collect and package evidence, and maintain chain of custody. Hoewel hun definitie van het forensisch proces evenals hun idee over specifieke methoden voor het archiveren van deze stappen goed beschreven worden, zijn de 14
beschreven technieken niet van toepassing op niet-unix systemen zoals Windows. De technieken die Farmer en Venema ontwikkelden, genaamd The Coroner s Toolkit, zijn enkel van toepassing op Unix systemen. Nadeel van deze onderzoeksmethode is dat ze te gefocust is op één computersysteem. Hierdoor kan ze niet aangewend worden voor computer forensisch onderzoek (Farmer & Venema, 1999; Reith, Carr, & Gunsch, 2002, pp. 3-4). Incident response methodology De Incident response methodology beschreven door Mandia en Prosise (2001) bestaat uit: Preincident preparation, detection of incidents, initial response, response strategy formulation, duplication, investigation, security measure implementation, network monitoring, recovery, reporting, and follow-up. Deze methode is goed doordacht en niet enkel gericht op één computersysteem, maar geeft een gedetailleerde methodologie weer voor specifieke computersystemen zoals Windows NT/2000, Unix en Cisco routers. Hun onderzoeksmethode omvat een omvangrijk onderzoek naar computercriminaliteit en kan gebruikt worden voor alle computersystemen. Deze onderzoeksmethode is echter enkel gefocust op digitale gegevens van computers en is niet gericht op het forensisch onderzoek van andere digitale gegevensdragers zoals zakcomputers, GSM s, fototoestellen en andere (toekomstige) technologieën. De beschreven procedure is reeds een heel gedetailleerde procedure die gebruikt kan worden als een pre-incidentele voorbereiding op een casus. Pre-incidentele voorbereiding betekent dat de rechercheurs voorbereid worden aan de hand van technieken en trainingen van onderzoek van nieuwe technologieën die kunnen voorkomen bij het onderzoeken van een casus (Mandia & Prosise, 2001; Reith, Carr, & Gunsch, 2002, p. 4). DOJ method Het Department of Justice (DOJ) van de VS (2001) heeft eveneens een poging ondernomen om een onderzoeksmethode te creëren, en heeft hiervoor gebruikt gemaakt van processen uit specifieke technologieën. Deze onderzoeksmethode bevat de volgende stappen: Collection, examination, analysis, and reporting. Zij beschrijven significant beter de methoden voor het identificeren van basisaspecten van het forensisch onderzoek zonder in te gaan op de details van specifieke technologieën of methode. Dit laat toe om traditionele kennis van fysiek forensisch toe te passen op elektronisch bewijsmateriaal. Daarnaast maakt het DOJ geen onderscheid tussen het forensisch onderzoek op computers en andere digitale gegevensdragers. Het creëert een algemene methode dat van toepassing is op verscheidene elektronische toestellen. De DOJ heeft een lijst gemaakt van alle 15
soorten en types bewijzen die kunnen gevonden worden op digitale gegevensdragers. Daarnaast wordt een lijst gemaakt van potentiële plaatsen waar bewijsmateriaal gevonden kan worden, evenals de types van criminaliteit dat geassocieerd kunnen worden met het gevonden digitaal bewijsmateriaal (zie Bijlage 2 Forensische onderzoekstechnieken per criminaliteitsvorm). De identificatie van het type potentieel bewijsmateriaal en de mogelijke (verborgen) locatie op verschillende digitale gegevensdragers is een positieve ontwikkeling voor de forensische onderzoekers. Hierdoor kunnen onderzoekers het juiste gereedschap kiezen om de gewenste resultaten te verkrijgen (Reith, Carr, & Gunsch, 2002, pp. 4-5; Technical Working Group for Electric Crime Scene Investigation, 2001). Digitale wasstraat De Nederlandse nationale recherche heeft eveneens een methode ontwikkeld voor het uitvoeren van digitaal forensisch onderzoek. Deze methode werd ontwikkeld als tegenreactie op de evolutie van computers. De methode bestaat uit vijf processen, namelijk selectie (wat meenemen?), kopie, leesbaar maken, analyse en tenslotte presentatie. Vroeger was het zo dat de tactische rechercheur (diegene die het volledig onderzoek voert) steeds zijn vragen moest stellen aan de digitaal rechercheur. Met het nieuwe systeem zal de digitale wasstraat alle vroegere verwerkingen van de digitaal rechercheur uitvoeren en kan de tactische rechercheur via een webinterface zijn zoeking uitvoeren. De digitale wasstraat is gebaseerd op een open architectuur. Dit betekent dat er losse modules (forensisch tools) aan gekoppeld kunnen worden. De voordelen van deze methode zijn: (a) automatisering van de verwerking van triviale zaken; (b) meer tijd voor moeilijkere zaken; (c) integratie met andere nieuwere producten; en tenslotte (d) directe toegang via webinterface voor de tactische rechercheur. Het nadeel aan deze methode is dat er een digitaal rechercheur zich bezig moet houden met het up-to-date houden van de digitale wasstraat (Dutch National Police Agency, 2009). Digital Forensics Research Workshop Tenslotte is er de benadering van Digital Forensics Research Workshop (DFRW). Het unieke aspect van DFRW is dat zij één van de eerste zijn met het grootste consortium geleid door academici in plaats van mensen uit de rechtshandhaving. Dit gegeven is van belang om te begrijpen waar de focus ligt bij hun wetenschappelijke doelstelling van het forensisch onderzoek. Zij gaan ervan uit dat Analytical procedures and protocols are not standardized nor do practitioners and researchers use standard terminology. De DFRW wenst liever niet de onderzoeksmethode te standaardiseren 16
omdat ze vreest dat een gestandaardiseerde onderzoeksmethode dreigt vast te lopen tijdens de evolutie van computercriminaliteit (Digital Forensics Research Workshop, 2001; Reith, Carr, & Gunsch, 2002, pp. 5-6). 2.2.3 Kwaliteit van het bewijs Een zeer belangrijke doelstelling van het forensisch onderzoek is de bewijsvoering, die onderworpen is aan welbepaalde kwaliteitsregels. Dit wordt wel eens uit het oog verloren op het ogenblik dat alle aandacht uitgaat naar de opsporing. Hierbij wordt vaak vergeten dat het materiaal, dat de nodige ondersteuning biedt bij de opsporing, met zorgvuldigheid moet worden behandeld om later voor de rechter nog als bewijs te kunnen dienen. Een sluitende bewijsvoering wordt verkregen indien de onderzoeker erin slaagt de dader, het slachtoffer en het daadinstrument ontegensprekelijk aan elkaar te verbinden (Van De Voorde, 2009, p. 188). Bij computer forensisch is er vaak maar één dader en vele slachtoffers. Amory en Poullet (1985, pp. 25-25) identificeren twee risicofactoren die de betrouwbaarheid van bewijsmateriaal, in het bijzonder digitaal bewijsmateriaal, bedreigen, namelijk fouten van technische en/of menselijke oorsprong, en bedrog. Hoe complexer de betrokken computersystemen, hoe groter het risico op fouten. Cornelis en Simont (1987, p. 15) en Aps (2000, p. 35) halen aan dat geen enkel bewijsmateriaal volkomen immuun is voor manipulatie; met andere woorden absolute betrouwbaarheid kan geen voorwaarde zijn voor aanvaarding. Vooraleer een bepaald gegeven als bewijs opgenomen wordt, moeten de methoden waarmee de sporen werden onderzocht voldoen aan de kwaliteitsvereisten van het wetenschappelijk onderzoek. Om te vermijden dat enkel reeds lang ingeburgerde en algemeen aanvaarde methoden (Frye standard) verkozen worden boven nieuwere en vaak specifiek voor forensische doeleinden onderworpen methoden, worden in de Amerikaanse rechtspraak de Daubert-criteria toegepast. Deze criteria verwoorden zeer goed de kwaliteitsnormen waaraan wetenschappelijke forensische onderzoeksmethoden moeten voldoen, namelijk (Meyers & Marc, 2004, pp. 4-6; Van De Voorde, 2009, p. 188): (a) testbaarheid van de methode: de methode en de daarmee bekomen resultaten moeten reproduceerbaar zijn; (b) de methode werd onderworpen aan peer review : dit betekent overwegend dat de methode reeds werd gepubliceerd in een vooraanstaand tijdschrift; (c) de foutenmarge van de methode is gekend; (d) en tenslotte, de methode is gebaseerd op een algemeen aanvaarde wetenschappelijke theorie of op bestaande algemeen aanvaarde methoden. De kwalificaties van de deskundige zelf kan aan het voorgaande toegevoegd worden, als belangrijke criterium. De interpretatie van de onderzoeksresultaten worden op basis van kennis en kunde van de 17
deskundige verwacht. In dit opzicht moet een specifiek forensische opleiding als een bijzonder pluspunt worden aanzien (Van De Voorde, 2009, p. 188). Principes van forensisch computer onderzoek (Beirens, 2004; Britz, 2009, p. 266; International Organization on Computer Evidence, 2010) zijn: (a) algemene forensische principes zijn ook van toepassing (vb.: vingerafdrukken, haar, speekselresidu s die gevonden worden op toetsenbord); (b) vermijden van wijzigingen op het origineel, daarom gebruik maken van kopie van de gegevensdrager; (c) indien tussenkomst op origineel: door een gevormde persoon laten uitvoeren; (d) documenteren van behandeling: mogelijk maken van tegenexpertise; (e) en tenslotte, verantwoordelijkheid voor de naleving principes zowel voor onderzoekers als bewaarders. Er werd meermaals over de integriteit van digitaal bewijsmateriaal gesproken zonder daar verder in op te gaan. Een stuk is integer wanneer het volledig en in essentie ongewijzigd is. Het stuk moet beschermd worden tegen ongeoorloofde manipulaties die het zouden corrumperen, maar dit wil niet zeggen dat wijziging niet toegelaten is. Digitaal bewijsmateriaal moet vaak noodgedwongen gewijzigd worden om op lange termijn toegankelijk te blijven. Dezelfde intellectuele inhoud kan opgeslagen worden in diverse digitale bestandsformaten (vb.: pdf, xml, tiff-afbeelding, etc.). Al deze variëteiten kunnen een integere weergave zijn van hetzelfde digitaal document. Ook gegevens die verwijderd werden van het computersysteem kunnen enkel gerecupereerd worden aan de hand van een aantal handelingen (Beirens, 2005; Dekeyser & Graux, 2009, p. 16). 2.2.4 Aspecten van Strafvordering Vanzelfsprekend is de digitaal forensische onderzoeker gebonden aan de algemene voorwaarden waarbinnen technische vaststellingen of expertise kunnen worden uitgevoerd. De Wet Informaticacriminaliteit 11 heeft aan de digitaal forensische onderzoeker een aantal nieuwe bevoegdheden toegekend die hen in staat moet stellen om te kunnen tussenkomen (Beirens, 2003, p. 123). De aanpassingen aan het formeel strafrecht waren minder optimistischer en veeleer een afweging, gesteund op de vaststelling dat het juridisch arsenaal niet meer voldeed om aan een aantal technologische evoluties het hoofd te bieden. Deze technologische evoluties gaven aanleiding tot de creatie van flexibelere dwangmaatregelen. Er kan reeds gesteld worden dat de nieuwe wetten te 11 Wet 28 november 2000 inzake informaticacriminaliteit, B.S. 3 februari 2001; Wet 15 mei 2006 tot wijziging van de artikelen 259bis, 314bis, 504quater, 550bis en 550ter van het Strafwetboek, B.S. 12 september 2006. 18
weinig oog hebben voor de fundamentele rechten en vrijheden. Heel wat begrippen en misdrijven zijn vaag omschreven en op het vlak van internationale samenwerking en informatie-uitwisseling kan het één en ander verbeterd worden (Deene & Nerinckx, 2007, pp. 7-13; Keustermans & Mols, p. 732). De volgende paragrafen geven een korte weergave van de verschillende aspecten van het formeel strafrecht. Databeslag Databeslag houdt in dat de oorspronkelijke inbeslagneming werd uitgebreid door het in beslag nemen van harddisks, servers of werkstations die niet het voorwerp van het onderzoek uitmaken. 12 Wanneer de inbeslagneming van de drager niet wenselijk is, kan de Procureur des Konings volstaan met beslag op een deel van de drager te leggen namelijk op de gegevens, zonder daarbij het computersysteem zelf te viseren (Deene & Nerinckx, 2007, pp. 47-52). Indien de gegevens het voorwerp vormen van een misdrijf of strijdig zijn met de openbare orde of de goede zeden, dan kan de Procureur des Konings de gegevens ontoegankelijk maken. Naast de Procureur des Konings kan ook de arbeidsauditeur dergelijke maatregelen treffen. 13 Netwerkzoeking Soms is het aan te raden om een netwerkzoeking uit te voeren op het netwerk dat zich bevindt in een woning. Het probleem bij een huiszoeking is dat deze plaatsgebonden is hetgeen bijzondere problemen met zich meebrengt indien het computersysteem zich gedeeltelijk bevindt op een fysieke plaats die niet in het huiszoekingsbevel begrepen is. Artikel 88ter van het Wetboek van Strafvordering bepaalt dat wanneer de onderzoeksrechter een zoeking beveelt in een computersysteem of in een deel ervan, deze zoeking kan worden uitgebreid naar een computersysteem of een deel daarvan dat zich op een andere plaats bevindt dan waar de zoeking oorspronkelijk plaatsvond (Deene & Nerinckx, 2007, pp. 53-58). Medewerking Er kan gebruik worden gemaakt van derden die meewerken aan het onderzoek. Bepaalde boekhoudkundige programma s kunnen enkel ingelezen worden door experten. Volgens artikels 88quater en 90quater van het Wetboek van Strafvordering hebben deze personen een 12 Art. 39bis Sv. 13 Gewijzigd door Art. 4 Wet 6 juni 2010 tot invoering van het Sociaal Strafwetboek, B.S. 1 juli 2010. 19
medewerkingsplicht om het computersysteem te bedienen of om inlichtingen aangaande de werking hiervan te verstrekken, alsook is er de bewaringsplicht opgelegd aan de operatoren en dienstverstrekkers. Er wordt als het ware een dwingend beroep gedaan op de medewerking van derden (Deene & Nerinckx, 2007, pp. 58-60). Volgens artikel 46bis van het Wetboek van Strafvordering zijn operatoren (bijvoorbeeld: Belgacom, Telenet, Proximus, Google, Yahoo, Hotmail, etc.) verplicht om op verzoek van de Procureur des Konings hun klantgegevens ter beschikking te stellen indien deze nodig zijn voor de identificatie van een klant (door bijvoorbeeld een IP-adres). De rechtbank van Dendermonde heeft bijvoorbeeld in 2009 een operator vervolgd die nahield om gegevens te geven aan de bevoegde instantie. 14 Rechtszekerheid Naast de nieuwe bevoegdheden (databeslag, netwerkzoeking en medewerkingsplicht), legt de WIC de digitaal forensische onderzoekers een aantal verplichtingen op die een garantie moeten bieden voor de rechtszekerheid in de strafprocedure. Zo moeten de reguliere onderzoekers kopieën nemen op digitale gegevensdragers van de overheid. De onderzoekers moeten de gepaste technische middelen aanwenden om de integriteit en de vertrouwelijkheid van de inbeslaggenomen gegevens te waarborgen. Tot slot moet de verantwoordelijke van het onderzochte computersysteem ingelicht worden over de zoeking op het systeem en een samenvatting van de gekopieerde/geblokkeerde gegevens bezorgd krijgen (Beirens, 2003, pp. 123-124). 2.3 Reguliere opsporing Omwille van de snelle groei in het aantal computergerelateerde misdrijven (Computer Emergency Response Team, 2009), hebben verschillende landen het initiatief genomen om federale agentschappen op te richten. In België werden de Regional Computer Crime Unit (RCCU) en de FCCU ontwikkeld. In de Verenigde Staten (VS) zijn er eveneens federale agentschappen opgericht, namelijk de FBI s National Computer Crime Squad en de US Department of Justice s Computer Crime Unit (Taylor & Loper, 2003, p. 613). 14 Corr. Dendermonde 2 maart 2009, 20.95.16/08/26 20
2.3.1 Korte geschiedenis In 1992 besliste de Raad van Bestuur van de Gerechtelijke Politie om in de hoven van beroep gespecialiseerde afdelingen Computer Crime Unit (CCU) op te richten. Deze afdelingen hebben als taak om efficiënt op te treden tegen de informaticacriminaliteit en om bijstand te leveren bij onderzoeken in geautomatiseerde omgevingen. Deze CCU s werkten bij de Gerechtelijke Politie bij de Parketten (GPP). In 1995 werd binnen de schoot van het Centraal Bureau der Opsporingen (CBO) het team voor Bijstand en Opsporingen in Geautomatiseerde Omgevingen (BOGO) opgericht. Het BOGO-team kreeg als opdracht digitale gegevens in computersystemen, computernetwerken of op digitale gegevensdragers, zichtbaar te maken en in bruikbare vorm te overhandigen. Zij waren ook belast met het bijstaan van de eenheden op het terrein (Beirens, 1998, p. 9). Met goedkeuring van de minister van justitie werd op 1 september 1997 de National Computer Crime Unit (NCCU) opgericht bij de Nationale Brigade van de Gerechtelijke Politie. De NCCU bestond toen uit vier leden (twee inspecteurs, één commissaris en één administratieve kracht). De doelstellingen en taken van de NCCU werden neergeschreven in verschillende rubrieken van een actieplan. Zo kregen ze als taken: (a) organisatie van coördinatievergaderingen voor de CCU s; (b) opstellen van nationale richtlijnen voor de huiszoekingen, de inbeslagnemingen en het onderzoek van computers en gegevensdragers; (c) medewerking met de juridische en politieke autoriteiten bij het tot stand brengen van beleidsmatige richtlijnen; (d) de exploitatie van het contactpunt kinderpornografie; (e) ronde tafel conferentie met de internetproviders; (f) het leggen van contacten met buitenlandse politiediensten. 15 Uit deze onvolledige opsomming kan er geconcludeerd worden dat het NCCU veel taken opnam met maar een klein aantal personeelsleden. Het is dan ook logisch dat niet alle taken uitgevoerd werden. De gemeentepolitie hield zich niet bezig met digitaal forensisch onderzoek of de bestrijding van computercriminaliteit. Wanneer een klacht werd ingediend bij de gemeentepolitie dan werd deze, omwille van de consensusnota, doorgespeeld aan de GPP. Met de politiehervorming in 2001 werd het NCCU hernoemd tot FCCU. De CCU s bleven bestaan in hun gerechtelijke arrondissementen en werden aangevuld met de leden van het BOGO-team (Beirens, 2010, p. 60). 15 Verslag over het wetsontwerp inzake informaticacriminaliteit, 28 juni 2000, Parl.St. Senaat 1999-2000, nr. 2-392/3. 21
2.3.2 Organisatie De federale gerechtelijke politie bestaat uit zowel directies en diensten op centraal niveau als gerechtelijke directies per arrondissement. Op centraal niveau is er een directie belast met de strijd tegen de economische en financiële criminaliteit. Deze directie behoort tot de algemene directie gerechtelijke politie (Bourdoux, De Raedt, De Mesmaeker, Liners, & Berkmoes, 2010, pp. 140-142). De FCCU maakt als centrale dienst deel uit van de directie economische en financiële criminaliteit van de federale gerechtelijke politie. De FCCU bestaat uit drie afdelingen en een team beleidsonderneming (zie Afbeelding 5) (Federale Gerechtelijke Politie - Directie economische & financiële criminaliteit, 2008, p. 41). Afbeelding 5: Organogram Federal Computer Crime Unit In de gerechtelijke arrondissementen wordt de gerechtelijke directie onderverdeeld in teams (drugs, mensenhandel, geweld en ecofin). De indeling in teams kan verschillen naargelang het gerechtelijke arrondissement. Daarnaast kunnen naast dergelijke teams ook steunteams aanwezig zijn, zoals het team ondersteuning, het team informatie, het team labo, etc. De RCCU wordt soms geïntegreerd binnen het team ondersteuning (van Outryve d'ydewalle, 2010) of is een afzonderlijke team. Het Nationaal Instituut voor de Criminologie en Criminalistiek (NICC) beschikt niet over een afdeling digitaal forensisch onderzoek. Dit is wel het geval in enkele van onze buurlanden: Nederland (Nederlands Forensisch Instituut, NFI), Duitsland (Bundeskriminalamt) en Frankrijk (Gendarmerie). In complexe gevallen kan meestal beroep op deze expertise gedaan worden (Beirens, 2003, p. 146). 22
2.3.3 Taakstelling van de Computer Crime Units De RCCU opereert in het kader van de zogenaamde specialisatierichtlijn COL 2/2002. 16 Deze richtlijn voorziet dat de politiediensten zich bij voorrang zouden bekwamen in bepaalde toegewezen materies betreffende het gerechtelijk opsporings- en onderzoekwerk. Voor de computercriminaliteit is dit de gerechtelijke politie. 17 De CCU, zowel de FCCU als de RCCU, leveren de nodige technische ondersteuning voor de opzoekingen binnen de door de criminelen gebruikte informaticasystemen. De draagwijdte van de technische ondersteuning bestaat uit: enerzijds het zoeken naar informaticasporen waardoor verdachten kunnen gelokaliseerd en geïdentificeerd worden; en anderzijds de recuperatie van gegevens op de computer van de verdachte(n) die hun illegale activiteiten kunnen bewijzen (vb.: afbeeldingen, opnames, teksten, contactpersonen, etc.). Elke lid van een CCU beschikt over een computer en gereedschappen om digitale dragers, gevonden bij de verdachten, te analyseren. Op nationaal niveau beheert de FCCU het centraal contactpunt van de gerechtelijke politie. Netsurfers kunnen op het internet vastgestelde onwettelijke activiteit aangeven bij het centraal contactpunt. 18 De twee niveaus in het CCU-werkingsmodel moeten garant staan voor een effectieve en efficiënte aanwending van de beschikbare middelen. De RCCU s bieden minstens de garantie op een kwalitatief goed forensisch onderzoek van computerapparatuur, andere gegevensdragers en kleine netwerken. De RCCU s werden opgericht met het idee om bijstand te leveren aan hun collega s van de federale en lokale politie. Zij leveren bijstand bij huiszoekingen, onderzoek van computersystemen, verhoren en internet-opsporingen. Tevens behandelen zij dossiers computercriminaliteit. Omwille van het tekort aan specialisten is er geen RCCU in elk arrondissement. Nochtans zijn er samenwerkingsakkoorden tussen de gerechtelijke diensten van de arrondissementen die garant staan voor een volledige dekking van België (Beirens, 2003, p. 146). Voor de invulling van de behoefte aan forensisch onderzoek van grotere netwerken, centrale computersystemen of speciale apparatuur en voor een voortgezet onderzoek van computercriminaliteit kan er een beroep worden gedaan op de deskundigheid van de FCCU op nationaal niveau. De werking van de FCCU wordt in belangrijke mate bepaald door de situatie van en de interactie met de RCCU s (Federale Gerechtelijke Politie - Directie economische & financiële 16 Richtlijn 20 februari 2002 tot regeling van de taakverdeling, samenwerking, de coördinatie en de integratie tussen de lokale en de federale politie inzake gerechtelijke opdrachten van politie, B.S. 1 maart 2002. 17 Vr. en Antw. Senaat 1998-99, 24 maart 1998, 4635 (Vr. nr. 966 M. OLIVIER). 18 Vr. en Antw. Senaat 2005-06, 28 oktober 2055, 5256 (Vr. nr. 3 C. NYSSENS). 23
criminaliteit, 2008, p. 40). Er dient een goede informatie-uitwisseling te gebeuren tussen de RCCU s en FCCU en dit volgens het gemeenschappelijk richtlijn MFO 3. 19 Er werden werkgroepen gecreëerd om de samenwerking tussen beide niveaus te garanderen. Vorming en upgrades moeten ervoor zorgen dat de kennis van de rechercheurs mee evolueren met de technische evolutie (Beirens, 2005). Hier en daar zijn er beperkte initiatieven van de politie om op sociale netwerken aanwezig te zijn. Zo heeft de studenteninspecteur van de lokale politie van Leuven een facebook-profiel waarop de studenten hem kunnen raadplegen (Beirens, 2010, p. 62). 2.3.4 Knelpunten De mogelijkheid om digitale gegevens op te halen wordt steeds belangrijker in zowel burgerrechtelijke als strafrechtelijke onderzoeken. Digitaal bewijsmateriaal wordt gebruikt in de gevallen, variërend van moord tot software piraterij (Britz, 2009, p. 266; Fullick, 2005, p. 52). Echter, het belang van de digitaal forensisch onderzoek is niet universeel erkend. Dit kan toegeschreven worden aan cyberphobia, de angst voor nieuwe technologie. Deze vrees aan innovatie is in overeenstemming met, maar niet uniek, voor de politie-subcultuur of de administratie van de politie. Bovendien worstelen de beheerders van de rechtshandhaving met de opkomende sociaaljuridische cultuur van politieke correctheid en multiculturalisme, ontevredenheid te uiten over de veranderende aard van het politiewerk en nemen waar dat digitaal forensisch onderzoek als onnodig, dat trouwens de budgetten tot het uiterst uitrekt (Britz, 2009, pp. 266-267). De financiële crisis van 2009-2010 zal daar vast en zeker ook van invloed zijn. Onderstaande paragrafen geven mogelijke knelpunten die kunnen voorkomen bij de digitale onderzoeksmethode. E-cops(.be) Binnen de FCCU wordt het meldpunt e-cops beheerd. Voor dit meldpunt wordt er samengewerkt met verschillende andere diensten. De meldingen worden naargelang de aard van het aangemelde misdrijf doorverwezen naar: (a) FOD economie voor economische inbreuken op internet; (b) de centrale cel mensenhandel voor de inbreuken inzake kindermisbruik op internet; (c) de andere centrale diensten van de federale politie afhankelijk van hun bevoegdheid; en tenslotte (d) de FCCU 19 Gemeenschappelijk richtlijn MFO-3 van 14 juni 2002 van de ministers van Justitie en van Binnenlandse Zaken betreffende het informatiebeheer inzake gerechtelijke en bestuurlijke politie, B.S. 18 juni 2002. 24
voor de meldingen inzake internetfraude, cybercrime en de restmeldingen. Indien de melders zelf slachtoffer zijn en schade hebben ondervonden dan worden ze door het e-cops-team doorverwezen naar de lokale politie om een klacht in te dienen. De procedure vereist immers nog steeds dat daar een ondertekende verklaring voor nodig is (E-cops, 2011). Hierbij starten de problemen in de behandeling van de klacht. De leden van de lokale politie hebben niets steeds de noodzakelijke ICT-kennis en ervaring om deze klachten op een correcte manier te behandelen. Daarnaast hebben ze geen specifieke vorming genoten. Ondanks de vele goed behandelde dossiers zijn er tevens veel dossiers waarin niet de juiste onderzoekhandelingen gesteld werden. Dit komt door het gebrek aan technische en juridische kennis van de gewone politieambtenaar. Dit gebrek aan kennis situeert zich niet alleen bij de politie maar ook bij de magistratuur die de processen-verbaal ontvangt en beslissingen neemt omtrent verder onderzoek. Om dit probleem deels op te lossen, zijn er in het kader van het Nationaal VeiligheidsPlan (NVP) enkele projecten die voorzien in de oprichting van netwerken van referentiepersonen bij de lokale politie en bij de parketten. Om deze netwerken van referentiepersonen te ondersteunen werden twee documenten opgesteld: het vademecum cybercriminaliteit en de handleiding internetfraude (Beirens, 2010, pp. 60-62). Middelen Het ontbreken van voldoende middelen voor de aankoop van forensische software en opleiding is niet vreemd aan overheidsdiensten en FGP s. Door verminderende financiële middelen worden politie-eenheden gedwongen om onderling te concurreren om een zo groot mogelijk aandeel te verwerven van financiering door de federale overheid. Kleine politie-eenheden verliezen hun concurrentiepositie met de grotere, meer verfijnde politie-eenheden. De succesvolle voorbereiding en indiening van subsidie-voorstellen vergt een bepaalde handigheid die niet alle politie-eenheden hebben. Dergelijke problemen worden vaak besproken op de jaarlijkse bijeenkomsten die kleine eenheden niet bijwonen wegens gebrek aan personeel. Zo ontstaat een vicieuze cirkel waarbij de minst uitgeruste eenheden het minst in staat zijn om externe financiering te verkrijgen voor de noodzakelijke uitrusting of opleiding (Britz, 2009, p. 267). De werklast van de CCU s ligt op het vlak van het digitaal forensisch onderzoek. Vanzelfsprekend leveren zij de steun voor internetidentificatie en voor onderzoek van computercriminaliteit. Al bij al wordt er geconstateerd dat de politiecapaciteit die gebruikt wordt voor het handhaven van de orde op 25
internet zeer beperkt is. In 2010 waren er in totaal 173 personen werkzaam binnen de CCU s, 33 binnen de FCCU en 140 binnen de RCCU s. In vergelijking met de buurlanden is dat niet slecht, hoewel vele landen het nog beter doen (Beirens, 2010, p. 61). De opleidingsprogramma s voor de RCCU worden aangeboden door de FCCU (Beirens, 2004). Het is aangewezen om opleidingen te volgen bij externe instellingen. Het is waarschijnlijk omwille van de stijgende kosten van de opleiding dat de FCCU soortgelijke cursussen heeft ontwikkeld. Kennelijk zijn deze cursussen gratis voor gekwalificeerde rechtshandhavingspersoneel. Het aantal deelnemers is desalniettemin beperkt en bepaalde politie-eenheden lijken een voorkeursbehandeling te verkrijgen. Daarbij aansluitend zijn vele politie-eenheden niet in staat om gebruik te maken van de vrije training, aangezien zij het verlies van een personeel niet kunnen veroorloven. Echter, de oprichting van non-profit opleidings- en onderzoekscentra is een stap in de goede richting (Britz, 2009, pp. 267-268). Communicatie en samenwerking Omwille van de concurrentiestrijd die inherent is bij de politie-eenheden, is de rechtshandhaving gekenmerkt door een gebrek aan samenwerking en communicatie tussen de aangrenzende organen. Hoewel politie-eenheden vaak gedwongen worden om formele partnerschappen te ontwikkelen, worden dergelijke coöperatie niet gekenmerkt door een energieke samenwerking (Britz, 2009, p. 268). Automatisering en experts Het gebrek aan middelen en de flux van de technologie in combinatie met technologische onwetendheid hebben geleid tot een te grote nadruk op geautomatiseerde programma's en zelfbenoemde experts. Geautomatiseerde forensische programma's zijn essentiële instrumenten in de gereedschapskist van een digitaal forensische onderzoeker en zijn uiterst nuttig in routineonderzoeken. Zij zijn echter niet volmaakt volgens de digitaal forensische wetenschap. In feite kan de bekendheid en het gebruik van geautomatiseerde programma's resulteren in een situatie waarin de onderzoekers net genoeg weten, ondanks het potentieel gevaar voor het onderzoek waaraan ze gewijd zijn. Koppel dit aan hun informele wijding als "computer expert". Gelukkig voor de rechtshandhaving heeft het openbare ministerie dergelijke "deskundigheid" aanvaard (Britz, 2009, p. 268). 26
Digitaal bewijsmateriaal Als gevolg van de besproken problemen zijn de meeste digitaal forensische onderzoeken uitgevoerd op een minder dan perfecte wijze. Vaak doen onderzoekers beroep op populaire software. Deze onderzoekers worden vaak geïdentificeerd als "computer experts" of niet-beëdigde computerdeskundigen wiens hoofdrol is om de identiteit te achterhalen van bestanden op een harde schijf, maar vele gevallen zijn reeds verloren gegaan voordat ze zelfs naar de rechtbank gaan. Helaas hebben deze onderzoekers niet voldoende kennis van ICT (Beirens, 2004; Britz, 2009, p. 269; International Organization on Computer Evidence, 2010). Zo wordt digitaal bewijsmateriaal vaak over het hoofd gezien, beschadigd, of geheel vernietigd. Sommige computers in een netwerk, bijvoorbeeld, zijn in beslag genomen en gewoon verbroken zonder ze op te slaan of het documenteren van de configuratie, wat resulteert in een onvermogen door de onderzoeker om een systeem opnieuw te configureren. Andere zaken zijn verloren gegaan door het niet doorzoeken van verborgen bestanden of slack space. Het is van essentieel belang dat de erkende normen van het digitaal forensisch onderzoek verder ontwikkeld worden. In de tussentijd moeten alle onderzoeken worden uitgevoerd in overeenstemming met de drie kardinale regels van het digitaal forensisch onderzoek: (a) altijd werken vanuit een image en niet op het originele computersysteem (behalve als het niet anders kan), (b) documenteren; (c) behoud van de chain of custody (Britz, 2009, p. 269). 2.4 Private opsporing Diverse gerechtelijke experten zijn sinds jaren actief ten voordele van justitie. De laatste jaren wordt de opkomst van forensische onderzoeksteams bij de grote consulting firma s opgemerkt. In deze teams werken vaak digitaal forensische onderzoekers. Diverse commerciële bedrijven hebben zich toegelegd op data-recovery en ondersteunen het forensisch aspect van deze activiteit. Voornamelijk wanneer de hardware van de gegevensdragers defect is, kan het aangewezen zijn om op deze firma s beroep te doen. Deze firma s kunnen daarnaast producenten zijn van forensische softwarepakketten (Beirens, 2003, p. 146). 27
2.4.1 Theoretisch kader In deze paragraaf worden eerst de drie generaties van privédetectives besproken. Vervolgens worden enkele criminologische verklaringsmodellen gegeven die het ontstaan van private opsporing verklaren. Generaties In studies van de markt van de private opsporing wordt een onderscheid gemaakt tussen drie generaties van privédetectives. De detectives behorend tot de eerste generatie werken op zelfstandige basis. Ze behoren tot de secundaire arbeidsmarkt gekenmerkt door lage kwalificaties en geringe inkomsten. Ze nemen opdrachten aan in verschillende domeinen all-round. Deze eerste generatie detectives werkt voornamelijk voor particulieren en minder voor het bedrijfsleven. Ze zijn manifest aanwezig op de markt door hun advertenties in de Gouden Gids of andere publicitaire aankondigingen. Hun werkterrein zou zich voornamelijk beperken tot het binnenland (Mulkers & Haelterman, 2001, pp. 14-15; Van Laethem, Bas, & De Corte, 1995, p. 125). De detectives van de tweede generatie zijn in hoge mate gespecialiseerd in verzekeringen, boekhoudingen, etc. Deze onderzoekers blijken over het algemeen hoger geschoold dan hun collega s van de eerste generatie. Ze laten zich voornamelijk in met recuperatieonderzoeken, fraudeinspecties, risico management, pre-employment checks, interne audit, etc. Dit type tewerkstelling wordt in de vakterminologie beschreven als in-house (Cappelle & Van Laethem, 1997, p. 16). Door hun kapitaalkrachtige opdrachtgever beschikken de onderzoekers over afdoende financiële middelen en kan er gesteld worden dat zij behoren tot de primaire arbeidsmarkt (Boon, 1993, pp. 11-13; Mulkers & Haelterman, 2001, p. 15). Een derde generatie privédetectives kenmerkt zich door een hoger professionalisme en door een hogere marktpenetratie en aanvaarding. Deze particuliere rechercheurs hebben vaak een menswetenschappelijke universitaire opleiding genoten en zijn zich bewust van de noodzaak zich constant bij te scholen (Cools, 1998, p. 30; Mulkers & Haelterman, 2001, p. 15). Criminologische verklaringsmodellen De private veiligheidssector is kwantitatief gezien een belangrijke sector die eigenlijk altijd heeft bestaan. Het bestaan en het functioneren van een private veiligheidszorg is een structureel kenmerk 28
van onze hedendaagse samenleving geworden. Door de eenzijdige media-aandacht voor de 'onveiligheid' in onze samenleving is de veiligheidsindustrie een verankerde bedrijfstak geworden die op behoeften van de burger inspeelt. De opgang en de ontwikkeling van de particuliere opsporingssector kan niet meer teruggedrongen worden (Van Outrive, 1995, p. 218). Door dit kwantitatief belang is er wetenschappelijk gezien meer aandacht gekomen naar de vraag waarom deze sector zo aan belang heeft gewonnen. Het gaat hier niet specifiek over private opsporing maar over de veiligheidssector in het algemeen (Hutsebaut, 2010; Van Outrive, 1995, pp. 218-219). Er bestaan verschillende theoretische modellen die de ontwikkeling binnen de private veiligheidssector verklaren. Ten eerste is er de complementaire theorie of de junior-partner theorie. De private veiligheidssector wordt gezien als het kleine broertje van de reguliere politie. In principe monopoliseert de reguliere politie de markt van de preventie en de repressie. Maar de reguliere politie voldeed niet meer aan de veiligheidseisen van haar bevolking waardoor de private veiligheidssector ontstond die complementair is aan de reguliere politie (Rosenthal & Hoogenboom, 1990, pp. 1-13). In deze theorie ligt het accent op het dysfunctioneren van de politie (Van Outrive, 1995, p. 195). Zowel de reguliere politie als de private veiligheidssector focussen zich op het openbaar/algemeen belang. De reguliere politie heeft drie doelen: preventie, ordehandhaving en recherche. De private veiligheidssector heeft maar één doel, namelijk preventie (Hutsebaut, 2010). Vervolgens is er de economische theorie. In deze theorie gaat het niet om het dysfunctioneren van de politie of de criminaliteitsverhoging maar om het beschermen van het economisch goed mass private property (Hoogenboom, 1986, p. 21). De private veiligheid moet ervoor zorgen dat de winsten gemaximaliseerd worden en de verliezen gereduceerd worden loss prevention (Shearing & Stenning, 1982, p. 54). De private onderzoeker oriënteert zich op de preventie van verliezen, veroorzaakt door het personeel, door de aanbieders en/of door de cliënten (Hoogenboom, 1986, pp. 24-26; Van Outrive, 1995, p. 196). De onderzoeker vervult hier zowel een preventieve als een repressieve taak. Preventief in het zoeken naar risico s en repressief om bijvoorbeeld diefstal, valsheid in geschriften, fraude, etc. op te sporen (De Vries, 1987, p. 561; O'Toole, 1978, p. 13). Wat zijn de redenen waarom ondernemingen (vb.: banken, verzekeringsmaatschappijen, etc.) beroep doen op private onderzoekers? Enerzijds willen deze ondernemingen geen negatieve publiciteit creëren. Anderzijds is de competentie en de middelen van de reguliere politie gelimiteerd. Hierdoor ontstaat er een vorm van private justitie waarbij conflicten intern worden behandeld (interne 29
conflictregeling), met als gevolg dat daders bepaalde rechten verliezen die ze anders wel zouden hebben in de publieke justitie (Shearing & Stenning, 1982, pp. 21-22; Van Outrive, 1995, pp. 197-198). Sinds eind jaren 80 werd er een nieuwe theorie ontwikkeld, genaamd publiek-privaat partnerschap. Hierbij wordt veiligheid niet meer beschouwd als een monopolie van de staat. Er wordt een relatie gevormd tussen de private veiligheidssector en de politie die als equivalente partnerschap wordt beschouwd, maar waarbij de structuur gereglementeerd moet worden (Van Outrive, 1995, pp. 198-199; Westerman, 1989, pp. 56-69). Door het systeem van partnerschap krijgen andere actoren een deel van de monopolie in handen (vb.: securail, geldtransporten, etc.). Onderzoeken in bijvoorbeeld de sector van de verzekeringsmaatschappijen zijn zodanig specifiek dat ze niet in de handen van de publieke sector kunnen laten. De contacten met de politie en justitie zijn er enkel voor informatieuitwisseling (Litton, 1990, p. 137; Van Outrive, 1995, p. 199). Volgens deze theorie gebeurt de partnerschap allemaal symbiotisch. Er wordt op elkaar ingespeeld en zo wordt er gestrekt tot een wederzijds voordeel op basis van gelijkwaardigheid (Hutsebaut, 2010). Ten vierde is er de politiecomplex. Deze theorie duidt met het woord politiecomplex op meer dan enkel de lokale en de federale politie. Ook alle diensten met politionele bevoegdheden (zo n 178 verschillende diensten zoals de inspectiediensten) vallen hieronder. De politie wordt hier dus opgevat als iets groter dan de reguliere politie wat samen een complex geheel vormt (Hutsebaut, 2010). In deze theorie ontstaat als het ware een omhelzing tussen de twee sectoren. De private veiligheidssector doet hetgeen wat de reguliere politie niet in staat is om te verrichten of niet de toestemming voor heeft (vb.: observatie, telefoontap, undercoveroperaties, etc.) (O'Toole, 1978, pp. 63-227). Bepaalde acties kunnen beter worden uitgevoerd door de private sector. Sommige auteurs spreken hier over het grijze politiewerk. Het gaat over formele collaboratie die operationeel is in het domein van de informatie-uitwisseling, waarbij het niet meer duidelijk is wie wat doet en waarbij er diverse verantwoordelijkheden ontstaan. Dit verhindert de controle op zowel de reguliere politie als de private onderzoekers (Hoogenboom, 1986, pp. 49-50; Van Outrive, 1995, p. 201). Tenslotte is er de integrale veiligheidszorg. De bestrijding van criminaliteit werd reeds niet meer beschouwd als de exclusieve taak van politie en justitie. In deze theorie wordt er rekening gehouden met alle relevante actoren en factoren. Bovendien wordt de burger in deze theorie gezien als een belangrijke actor die zijn eigen verantwoordelijkheid moet opnemen Garland (The Culture of 30
Control, 2001, p. 124) hanteert de term geresponsabiliseerd. Om tot een integrale aanpak van de onveiligheid te komen moet iedereen die zijn steentje aan de veiligheid bijdraagt samenwerken en op een zo n gecoördineerd mogelijke manier (Van De Bunt & Swaaningen, 2005, pp. 6-8). In deze theorie wordt veiligheid een globaal en universeel iets en wordt er vaak over een ketenbenadering gesproken (Hutsebaut, 2010; Mulkers & Haelterman, 2001, pp. 31-32). 2.4.2 Organisaties in België In de inleiding van deze paragraaf werd er gesproken over een aantal vormen van private opsporingsdiensten. Er wordt een onderscheid gemaakt tussen drie generaties van private opsporingsdiensten waarbij digitaal forensisch onderzoek aan te pas komt. In onderstaande paragrafen worden de belangrijkste private opsporingsdiensten besproken. Banken en verzekeringsmaatschappijen Op de website van FOD binnenlandse zaken, Directie private veiligheid (2011), is er een lijst te vinden van alle vergunde privédetectives. In deze lijst staan de namen, contactgegevens, vergunningsnummer en werkgevers bij wie ze tewerkgesteld zijn. Aan de hand van de werkgever is het mogelijk om alle privédetectives uit te halen die werken bij een bank of een verzekeringsmaatschappij. Er zijn een groot aantal privédetectives die bijvoorbeeld tewerkgesteld zijn bij KBC, Ethias, Axa en vele andere. Het is natuurlijk niet mogelijk om aan de hand van deze lijst na te gaan of deze personen digitaal forensisch onderzoek uitvoeren. Aan de hand van de contactgegevens zou er eventueel gevraagd kunnen worden naar de uitvoering van digitaal forensisch onderzoek. Deze personen worden meestal tewerkgesteld bij bank of verzekeringsmaatschappij voor het opsporen van fraude, risicomanagement en dergelijk meer. Tegenwoordig wordt bij fraude bijvoorbeeld meer en meer gebruik gemaakt van computer (Pacolet, Perelman, Pestieau, Baeyens, & De Wispelaere, 2009, pp. 26, 69). Particuliere forensische onderzoeksbureaus I-Force (2011), Triforensic (2011), RSE Data Recovery (2011) en Ontrack Data Recovery (2011) zijn in België de ondernemingen die digitaal forensisch onderzoek voeren in opdracht van particulieren en bedrijven. Particuliere forensische onderzoeksbureaus voeren geen opsporing, maar beantwoorden enkel de vragen van hun klanten. I-Force bijvoorbeeld biedt een expertise aan bij het voorkomen, detecteren, onderzoeken en beslechten van onrechtmatig handelen in een 31
organisatiecontext, overwegend in een financieel-administratieve context. Zij beschikken daartoe over een multidisciplinair team van gespecialiseerde bedrijfsrevisoren, accountants, informatici, criminologen en privédetectives. Één van de diensten die i-force aanbiedt is IT Forensics. Digitale onderzoeken bij I-force gaan zowel om het technisch onderzoek van digitale gegevensdragers (computer forensics) als om het daaropvolgend inhoudelijk onderzoek naar de digitale dataset (forensische data-analyse). Deze ondernemingen worden beschouwd als een derde generatie privédetectives, omdat het hier voornamelijk om hoge mate van professionalisering gaat. Privédetectives In de lijst van vergunde privédetectives (Directie Private Veiligheid, FOD Binnenlandse Zaken, 2011) en in de Gouden Gids kunnen alle privédetectives gevonden worden die niet tewerk gesteld zijn bij banken of verzekeringsmaatschappijen. Het gaat dan om privédetectives van de eerste generatie. Deze onderzoekers voeren hun all-round opdrachten uit ten aanzien van particulieren en minder voor private ondernemingen (Mulkers & Haelterman, 2001, pp. 14-15; Van Laethem, Bas, & De Corte, 1995, p. 125). Om na te gaan of ze ook digitaal forensisch onderzoek voeren, moet er eventueel gekeken worden naar hun website. Een privédetective kantoor die digitaal forensisch onderzoek voert heet Marcus Private Investigations (2011). Wegens de opkomst van het internet zijn zij zich gaan specialiseren in digitaal onderzoek. Een andere privédetective kantoor die onderzoek voert op computers is Expertisekantoor Decanniere (2008). Het is een multidisciplinair onderzoeksbureau. Een gedetailleerde omschrijving van computeronderzoek ontbreekt echter. Ze geven enkel aan dat ze werken met een gespecialiseerd labo. Er zijn nog tal van andere privédetectives die digitaal forensisch onderzoek voeren, doch zou dit ons te ver leiden voor deze meesterproef (Clause & Partners, 2010; Detectives Sebastian & Partners, 2011; Vangenechten Recherche, 2009). 2.4.3 Wettelijke aspecten De meeste private opsporingsdiensten in België zijn onderworpen aan de regelgeving van de privédetectives. De detectivewet dateert van 19 juli 1991 en is niet meer actueel. 20 Er wordt wel eens verwezen om een nieuwe detectivewet te formuleren die rekening houdt en afgestemd is op 20 Wet 19 juli 1991 tot regeling van het beroep van privé-detective, B.S. 2 oktober 1991. 32
andere wetgevingen (Aerts, 2006, p. 17). De detectivewet had enkele doelstellingen voor ogen omwille van problemen omtrent privémilities voor 1991. De regulering van de private opsporing was daarenboven de eerste doelstelling. Het is voor iedereen belangrijk dat privédetectives zich aan algemeen bepaalde regels moeten houden. Daarom zijn privédetectives verplicht om een vergunning te hebben. 21 Dit zorgt ervoor dat de toegang tot het beroep beperkt wordt en de controleerbaarheid ervan vergroot. 22 Wanneer een kandidaat privédetective aan een aantal strikte voorwaarden, dewelke in de wet opgesomd staan, voldoet, kan de kandidaat een vergunning bekomen. Met deze vergunning kan de persoon voor een periode van vijf jaar het beroep van privédetective uitoefenen. Een voorwaarde om een vergunning te bekomen en bovendien een doelstelling van de wetgever is dat de kandidaat geen veroordelingen opgelopen heeft voor bepaalde misdrijven in het verleden alsook geen andere beroepen mag uitvoeren zoals bijvoorbeeld politieambtenaar (Cappelle & Van Laethem, 1997, p. 14). 23 Het beroep van privédetective gaat gepaard met een zeker gezag en macht. Gezien de privédetective quasi politionele activiteiten uitoefent, heeft de wetgever bij het maken van de detectivewet tot doel om elke vorm van machtsoverschrijding of inmenging in politionele activiteiten proberen te voorkomen (Cappelle & Van Laethem, 1997, p. 15). 24 De bescherming van de opdrachtgever tegen bepaalde oneerlijke activiteiten van sommige privédetectives werd ook in de detectivewet geregeld. 25 De detectivewet voorziet een aantal bepalingen waardoor een bescherming gewaarborgd wordt. 26 Zo mag de door de privédetective verzamelde informatie alleen worden meegedeeld aan de opdrachtgever of een gemachtigde. Elke opdracht dient tevens vastgelegd te worden in een schriftelijke overeenkomst of register. Bij het einde van een opdracht dient er eveneens een schriftelijk verslag opgemaakt te worden en mag de privédetective gedurende drie jaren geen andere opdrachten aanvaarden die strijdig zijn met de belangen van zijn opdrachtgever (Cappelle & Van Laethem, 1997, p. 15). 21 Art. 2 Wet 19 juli 1991 tot regeling van het beroep van privé-detective, B.S. 2 oktober 1991. 22 Wetsontwerp tot wijziging van de wet van 19 juli 1991 tot regeling van het beroep van privé-detective, Parl.St. Senaat 1995-96, nr. 557/1. 23 Art. 3 Wet 19 juli 1991 tot regeling van het beroep van privé-detective, B.S. 2 oktober 1991. 24 Art. 4 Wet 19 juli 1991 tot regeling van het beroep van privé-detective, B.S. 2 oktober 1991. 25 Wetsontwerp tot wijziging van de wet van 19 juli 1991 tot regeling van het beroep van privé-detective, Parl.St. Senaat 1995-96, nr. 557/1. 26 Art. 8-10 Wet 19 juli 1991 tot regeling van het beroep van privé-detective, B.S. 2 oktober 1991. 33
De bescherming van het privéleven van de burgers werd ook voor ogen gehouden in de detectivewet. Hiervoor worden de uitoefeningsvoorwaarden van het beroep nauwkeurig omschreven en worden de gehanteerde middelen en methodes aan banden gelegd. 27 Tenslotte werd er een degelijk controle- en sanctiesysteem met zowel administratieve als gerechtelijke sancties uitgebouwd. 28 Door dergelijk systeem zal er worden toegezien op de werking van de privédetectives (Cappelle & Van Laethem, 1997, p. 16). De detectivewet maakt nergens melding van een verbod op het binnendringen in computerbestanden. De wetgever stelde het toegang verschaffen tot een informaticasysteem zonder daartoe gerechtigd te zijn, strafbaar (zie 2.1.3 Strafrechtelijke aspecten). 29 2.4.4 Knelpunten De discussie omtrent het privatiseren van opsporing als ook ten aanzien van het privatiseren van andere overheidstaken wordt sterk gekleurd door irrationele argumenten (De Mulder & Kleve, 2005, p. 95; Van Dijk & De Waard, 2001, p. 25). Hieronder worden een aantal argumenten besproken. Algemeen belang Vooreerst is er het argument van het algemeen belang. Veiligheid is geen exclusieve overheidsaangelegenheid meer. De private veiligheid heeft verscheidene taken van de overheid overgenomen. Veiligheid wordt als een goed van algemeen belang gezien dat enkel door de overheid zou mogen onderhouden worden. Niet alle mensen kunnen veiligheid betalen of willen liever niet aan de kosten bijdragen die veiligheid met zich meebrengt (Van Outrive, 1995, pp. 217-218). Hierdoor ontstaat het zogenoemde free rider-gedrag (De Mulder & Kleve, 2005, p. 95). Negatieve effecten van marktwerking Dat de marktdruk en het belang van hoge rendementen zowel een verminderde kwaliteit van de dienstverlening als hogere tarieven tot gevolg kunnen hebben, is een vaak aangehaald argument. Doch zijn er bewijzen dat privatisering van activiteiten die voorheen door de overheid werden uitgevoerd juist wel tot efficiencyverhoging kunnen leiden (bijvoorbeeld: verzelfstandigde (voormalige) gemeentelijke plantsoenendiensten in Nederland) (De Mulder & Kleve, 2005, p. 96). 27 Art. 5-7 Wet 19 juli 1991 tot regeling van het beroep van privé-detective, B.S. 2 oktober 1991. 28 Art. 15-19 Wet 19 juli 1991 tot regeling van het beroep van privé-detective, B.S. 2 oktober 1991. 29 Art. 4 Sw. 34
Een nieuwe tweedeling Privatisering van veiligheid zou tot een tweedeling in de samenleving kunnen leiden, tussen hen die wel veiligheid kunnen betalen en hen die geen veiligheid kunnen betalen. Maar in het geval van veiligheid is er evenwel ook sprake van een tweedeling in risico s. Een juwelier bijvoorbeeld loopt meer risico s dan een reisbureau. Het lijkt dan ook logisch dat een juwelier meer zal investeren in veiligheid dan een reisbureau (De Mulder & Kleve, 2005, p. 96; Van Outrive, 1995, p. 218). Publieke en private ruimte Een meer strategische argument voor het onaangepast houden van de publieke veiligheidstaak is terug te vinden in het onderscheid tussen private en publieke ruimte. De beveiliging van de private ruimte zou dan een taak van private partijen moeten zijn, maar de beveiliging van publieke ruimte moet een taak blijven van publieke partijen, de overheid (De Mulder & Kleve, 2005, p. 98). De vraag rijst natuurlijk waar het internet zich bevindt. Bevindt deze zich in de publieke ruimte of in de private ruimte? Toelaatbaarheid van het bewijs Voor publieke opsporingsdiensten geldt de uitsluitingsregel uit artikel 154 uit het wetboek van Strafvordering. De uitsluitingsregel verhindert dat onregelmatige bewijzen, verkregen door een misdrijf of door een onrechtmatigheid, in het strafdossier terecht komen en de rechter mag er bij de vorming van zijn overtuiging geen rekening mee houden (Goossens, 1999, p. 85). Daarenboven moet ook het secundair bewijs, de gegevens die uit een onrechtmatig verkregen bewijs voortkomen, uit de debatten geweerd worden. Het bewijs verkregen door particulieren, die niet in dienst van de overheid bewijsmiddelen hebben verzameld, maakt het voorwerp uit van de grote converse. In principe geldt ook voor particulieren die niet in opdracht van de overheid handelen de uitsluitingsregel. Het hof van cassatie oordeelde dat bewijsmiddelen die het gevolg zijn van een delictuele actie door een particulier noch rechtstreeks, noch onrechtstreeks mogen gebruikt worden. 30 30 Cass. 29 oktober 1962, Pas. 1963, I, 272-274 35
3 METHODOLOGIE 3.1 Probleemstelling en onderzoeksvragen In de afgelopen decennia hebben nieuwe technologieën het leven van de mensen veranderd. De sensatie van de technologie gaat verder dan televisie, radio en computer en omvat nu ook mobiele telefoon, personal device assistance (PDA s), spelcomputers en mediaspelers (Kane & Portin, 2008, p. 7). Communicatietechnologie gaat altijd gepaard met beschermingsuitdagingen. De invloedrijke aard van nieuwe technologie creëert daarnaast verontrusting over de band tussen criminaliteit en technologie (Grabosky, 2007, p. 5). De waarheid is dat de nieuwe vormen van technologie mensen niet alleen met elkaar in verbinding brengen maar ze ook isoleren waardoor ze kwetsbaar worden voor benaderingen van boodschappen die ze via deze middelen ontvangen. Het gevaar dat geweld via de media en nieuwe technologieën wordt verspreid of zelfs gepromoot en de noodzaak om mensen hier tegen te beschermen is een veel besproken kwestie en de discussies zijn nog lang niet over en komen bij iedere nieuwe technologische ontwikkeling weer op (Kane & Portin, 2008, p. 7). De risico s die gepaard gaan met communicatietechnologieën gelden voor particuliere individuele eindgebruikers kinderen en jongeren zijn hier de meest kwetsbare groep maar ook voor collectieve gebruikers, zijnde bedrijven. Over de omvang van de computercriminaliteit bij deze groep van gebruikers is doorgaans minder geweten. Gebrek aan rapportage door de slachtoffers is nog steeds één van de grootste beperkingen die een effectieve vaststelling van computercriminaliteit bemoeilijken. Voor wat betreft aanvallen op computersystemen, zijn particuliere bedrijven terughoudend om het misdrijf bij de politie te melden (Britz, 2009, p. 269; High Tech Crime Centre, 2007, p. 8; Shearing & Stenning, 1982, pp. 21-22; Van Outrive, 1995, pp. 197-198). Daarenboven heerst er in de particuliere sector een gevoel dat de reguliere instellingen die instaan voor de bestrijding van computercriminaliteit niet snel reageren op hun verzoeken. Hier zijn een aantal mogelijke verklaringen voor, die reeds uitvoerig besproken werden in de literatuurstudie (zie 2.4.1 Theoretisch kader). Deze verklaringen kunnen ervoor zorgen dat in de private sector een soort van intern onderzoeksapparaat wordt opgezet om onmiddellijk te kunnen reageren op een incident, zonder dat het publiek op de hoogte is van het probleem (High Tech Crime Centre, 2007, pp. 8-9; Shearing & Stenning, 1982, pp. 21-22; Van Outrive, 1995, pp. 197-198). 36
Technologische instrumenten kunnen gebruikt worden om het risico op schade te verminderen, met andere woorden ingezet worden om de veiligheid van de samenleving te bevorderen (De Mulder & Kleve, 2005, p. 101). Naast instrumenten om de computer te beschermen, zijn er instrumenten om de internetbeleving onder controle te houden. Filtertools helpen de toegang tot websites op het internet te filteren (Kane & Portin, 2008, pp. 8-10). Daarnaast bestaat er een scala aan technologietoepassingen, bijvoorbeeld beveiligingssystemen (cameratoezicht, toezichtscontrole), identificatie van goederen en personen ( taggen van producten, tracking en tracing), informatieverwerking (beeldverwerking, biometrie, datamining), communicatie en procesondersteuning en tenslotte handhaving en opsporing (De Mulder & Kleve, 2005, p. 101; De Mulder, Oey, & Van Schelven, 2004, pp. 712-740). Technologie is een bepalende factor voor de maatschappelijke ontwikkeling (Kleve, 2004, p. 2). Kennis van technologie is van essentieel belang bij het beschrijven, verklaren, voorspellen en beïnvloeden van maatschappelijke veiligheid. Met de constatering dat technologie belangrijk is, en gezien de veelheid aan technologische toepassingen en de snelheid waarmee innovaties elkaar opvolgen, moet ook worden vastgesteld dat technologie beter gedijt in het bedrijfsleven dan bij de overheid. Dit heeft deels met financiële middelen te maken, maar vooral met marktwerking en het innovatief vermogen. De industriële revolutie is tot stand gekomen door vrije maatschappelijke krachten en de huidige informatierevolutie is eerst tot ontwikkeling gekomen nadat internet commercieel werd. Dus als techniek moet instaan voor het bevorderen van veiligheid, dan kan dat het beste gebeuren vanuit private organisaties. Daarnaast vraagt veiligheid om organiseren. De discipline die bij uitstek draait om kennis en kunde van organiseren en managen is de bedrijfskunde. Voor een goede organisatie van veiligheid is het dus verstandig bedrijfskundigen er bij te betrekken. Bovendien staan bedrijfskundigen niet afwijzend tegenover moderne technologie en moderne gezichtspunten in de organisatiekunde en de toepassing van empirische wetenschappen (De Mulder & Kleve, 2005, pp. 101-102). De aandacht voor het gevaar van het internet is vrij recent. In januari 2011 gaf de Minister van Justitie aan dat er een expertisecentrum tegen computercriminaliteit zou opgericht worden in Kortrijk. Het nieuwe expertisecentrum zal niet alleen opleidingen en wetenschappelijk onderzoek organiseren, maar ook als deskundige kunnen optreden in gerechtelijke onderzoeken tegen computercriminaliteit (Belga, 2011; B-CCENTRE, 2011). In de wetenschappelijke literatuur is er tot heden weinig onderzoek te vinden naar het fenomeen computercriminaliteit. 37
De onderzoeksvragen die voortvloeien uit de hierboven geschetste probleemstelling zijn: (a) In welke mate speelt de private opsporing een rol in de bestrijding van computercriminaliteit? (b) Wat is de rol van de private opsporing in het aanleveren van digitaal bewijsmateriaal? (c) Hoe verloopt de samenwerking met andere opsporingsdiensten? (d) Welke knelpunten ondervinden de private opsporingsdiensten bij het uitvoeren van digitaal forensisch onderzoek? 3.2 Dataverzamelingsmethode De gegevens worden verzameld aan de hand van kwalitatief onderzoek. Er zijn een aantal redenen waarom kwalitatief onderzoek hier de voorkeur geniet. Ten eerste geeft kwalitatief onderzoek diepgaande informatie omtrent de werking van de verschillende private opsporingsdiensten. Het kader waarbinnen het onderzoek gebeurt, is minder afgelijnd dan een kwantitatief onderzoeksdesign, waar de antwoordcategorieën in een survey vastliggen. De semigestructureerde interviews worden gevoerd aan de hand van open vragen die een vrije menings- en gevoelsuiting stimuleren. Het laat de leden van de private veiligheidssector toe hun eigen taal te gebruiken. Daarnaast wordt omwille van de haalbaarheid van de studie de respondentengroep beperkt gehouden. De keuze voor kwalitatief onderzoek ligt dan voor de hand omdat de kwalitatieve benadering eerder gericht is op het gezichtspunt van een enkeling (Silverman, 2010, pp. 6-13). 3.2.1 Samenstelling van de onderzoekspopulatie De onderzoekspopulatie omvat alle organisaties en privédetectives in België die digitaal forensisch onderzoek voeren (zie 2.4.2 Organisaties in België). Het is niet de bedoeling om alle organisaties en privédetectives in België te onderzoeken. Er wordt getracht om een aantal leden van elke generatie te bevragen. Na telefonisch contact met een aantal privédetectives blijkt dit niet zo evident te zijn. In België zijn er weinig privédetectives die dit soort van werk uitvoeren. Daarom wordt ook één particuliere onderzoeksbureau uit Nederland maar die in België opdrachten uitvoert erbij genomen. De mogelijke respondenten worden per mail of per telefoon gecontacteerd om hun medewerking tot het onderzoek te vragen. Er wordt nadrukkelijk aangegeven dat de gegevens uit de interviews in alle vertrouwelijkheid worden geanalyseerd, verwerkt en gepubliceerd. Er wordt aangegeven dat hun medewerking van 38
groot belang is voor het verdere onderzoek. De organisaties die niet wensen deel te nemen worden gevraagd wat de reden hiervoor is. 3.2.2 Diepte-interview als dataverzamelingsmethode Binnen de kwalitatieve benadering kunnen verschillende dataverzamelingsmethoden onderscheiden worden. In dit onderzoek worden de gegevens aan de hand van semigestructureerde interviews verzameld. Om de semigestructureerde interviews af te nemen, wordt er gewerkt met een topiclijst (zie Bijlage 3 Topiclijst). Dit is een logisch opgebouwde lijst met vragen die aan bod moeten komen tijdens het gesprek. De topiclijst wordt opgesteld aan de hand van de gegevens uit de literatuur. Er worden ook vragen gesteld over de samenwerking met de politie (namelijk de RCCU en FCCU). In de literatuur is er over samenwerking weinig gekend. Het gebruik van een topiclijst impliceert enerzijds dat de vragen nog steeds bijgestuurd en aangevuld kunnen worden met elementen uit voorgaande interviews. Anderzijds zijn de vragen in beperkte mate gestandaardiseerd zodat de verschillende gesprekken vergeleken worden (Baarda, de Goede, & van der Meer-Middelburg, 2007, pp. 25-37). 3.3 Data-analyse De interviews worden op band opgenomen. Na de eigenlijke verzameling van de gegevens worden deze verwerkt. Dit gebeurt aan de hand van het computerprogramma Nvivo. Dit vergemakkelijkte de data-analyse aanzienlijk. De data-analyse bestaat uit drie stappen. De eerste stap is het open coderen. Hierbij worden de interviews gelezen en in fragmenten ingedeeld. De verschillende fragmenten worden met elkaar vergeleken. Vervolgens wordt in de tweede stap axiaal gecodeerd. In deze stap worden de belangrijkste begrippen achterhaald en worden deze begrippen omschreven (al dan niet met een voorbeeld). Vanuit het axiaal coderen ontstaat er een codeboom (zie Bijlage 4 Codeboom). Dit heeft als voordeel dat de data op een identieke wijze kan verwerkt worden. Zo wordt de kwaliteit van het onderzoek bevorderd. En tenslotte wordt er in de derde en laatste stap selectief gecodeerd. Bij het selectief coderen worden de begrippen en gegevens gestructureerd. De fragmenten worden in verband gebracht met elkaar (Boeije, 2006, pp. 85-110). Het eindresultaat van het selectief coderen wordt geïntegreerd in het resultatengedeelte van de meesterproef. 39
3.4 Kwaliteit van het onderzoek De kwaliteit van een onderzoek is vaak een discussieerbaar onderwerp. Tussen de verschillende onderzoekers bestaat er onenigheid over het toepassen van de criteria met betrekking tot de kwaliteit van het onderzoek. Aangezien kwalitatief onderzoek enigszins verschilt van kwantitatief onderzoek werd er geopteerd om de criteria om de kwaliteit van het kwantitatief onderzoek na te gaan, niet identiek toe te passen op kwalitatief onderzoek. Door de criteria voor de kwaliteit van het kwantitatief onderzoek letterlijk toe te passen, wordt kwalitatief onderzoek als minderwaardig aangezien. Daarentegen is het overbodig om geheel nieuwe criteria voor de kwaliteit van kwalitatief onderzoek te gebruiken. Er dient enige vergelijkbaarheid te zijn. In dit onderzoek wordt een middenpositie genomen waarbij de criteria voor de beoordeling van de kwaliteit van kwalitatief onderzoek enigszins herkenbaar dienen te zijn voor kwantitatieve onderzoeken, doch een andere invulling krijgen (Silverman, 2010, pp. 268-274). 3.4.1 Validiteit Om de validiteit in het onderzoek te garanderen zijn er verschillende methoden voor handen (Silverman, 2010, pp. 275-278). Triangulatie is een methode om de kwaliteit van het onderzoek te verbeteren en kan op verscheidene wijze gebeuren. Het onderzoek vertrok vanuit verschillende theoretische modellen betreffend het organiseren van digitaal forensisch onderzoek. Hierdoor wordt er aan theoretische triangulatie gedaan (Boeije, 2006, pp. 152-153). Ook wordt er gewerkt met het principe van constante vergelijking. De verschillende delen in een bepaald interview en de interviews onderling worden vergeleken waardoor proposities mogelijks gefalsifieerd worden (Boeije, 2006, p. 75; Silverman, 2010, pp. 279-280). 3.4.2 Betrouwbaarheid De interviews worden steeds op digitale geluidsrecorder opgenomen zodat de interviews letterlijk getranscribeerd kunnen worden. Dit verhoogt de betrouwbaarheid van het onderzoek aanzienlijk. Door de letterlijke weergave kan mogelijke beïnvloeding achterhaald worden. Ook de analyse wordt op deze wijze vergemakkelijkt. De analyse gebeurt aan de hand van een codeboom, waardoor alle interviews op een identieke wijze worden verwerkt (Silverman, 2010, pp. 286-289). 40
4 RESULTATEN In dit hoofdstuk worden de geanalyseerde gegevens gepresenteerd. Uit de verschillende interviews wordt zo adequaat mogelijk een antwoord geformuleerd op de verschillende onderzoeksvragen (zie 3.1 Probleemstelling en onderzoeksvragen). Om de resultaten kracht bij te zetten, worden enkele fragmenten uit de interviews weergegeven. 4.1 Bestrijding van computercriminaliteit 4.1.1 Begrip computercriminaliteit Alle respondenten geven aan dat computercriminaliteit criminaliteit is die gebeurt via de computer. Een respondent maakt een duidelijk onderscheid tussen een brede en een enge interpretatie van het woord. Onderstaand fragment illustreert dit: Als je gaat kijken naar de brede zin van het woord dan zeg ik alle criminaliteit waarbij digitale systemen zijn betrokken. Dat is heel veel tegenwoordig. Dat kunnen onrechtmatigheden zijn waarbij gebruik is gemaakt van digitale systemen. Denk aan bijvoorbeeld, wat we vaak zien bij verzekeraars, fraude waarbij iemand door middel van het invoeren van valse informatie in het systeem geld naar zijn rekening overboekt. Dan is het doel van de fraude niet het systeem geweest, maar het is wel middels een systeem gegaan. Dan heb je ook de onrechtmatigheden waarbij echt het digitaal systeem het doelwit is geweest van de fraude. Denk aan bijvoorbeeld internetbankieren. En dan heb je ook de fraudes waarbij de digitale omgeving verstoord wordt. Dat zie je ook wel eens waarbij een persoon het netwerk saboteert. Bijvoorbeeld iemand die ervoor zorgt dat een database door niemand meer gebruikt kan worden. En als je kijkt naar de enge zin van computercriminaliteit, dan wordt meestal de tweede optie onder verstaan, namelijk de digitale systemen als doelwit. Voorbeelden hiervan zijn frauderen bij internetbankieren, malware, spam. Twee van de drie respondenten geven aan dat ze de WIC kennen, maar niet tot in het detail. Dat is volgens de respondenten niet hun taak. Het is de taak van een advocaat om de wetgeving te kennen. De respondenten weten wat ze mogen doen en wat ze niet mogen doen. De Nederlandse respondent geeft aan dat hij de Belgische wetgeving betreffende informaticacriminaliteit niet kent, maar hij gaat ervan uit dat zij quasi dezelfde is als in Nederland. 41
4.1.2 Evoluties van computer en computercriminaliteit Er wordt door de respondenten een onderscheid gemaakt tussen drie soorten van evoluties. In de eerste plaats geven ze allemaal aan dat er een evolutie is in de manier van uitvoering. De respondenten beweren dat er een verschuiving is van misbruik op het internet naar misbruik van belangrijke digitale gegevens zoals bedrijfsgegevens, klantgegevens, etc. Een respondent zegt dat het nu allemaal veel geavanceerder gebeurt dan vroeger. Een voorbeeld dat hij aanhaalt, is het internetbankieren. Mensen dachten vroeger dat internetbankieren iets was dat zeer veilig was. Maar met de juiste middelen en kennis is het tegenwoordig mogelijk om de beveiliging te omzeilen. Een andere evolutie ligt meer aan de technische kant. Enerzijds wordt door één van de respondenten opgemerkt dat er een overgang is van grote mainframe-achtige constructies tot het steeds meer verspreiden naar kleinere apparaten. Er wordt dan bijvoorbeeld aan blackberries gedacht, waar er steeds meer informatie op staan. Er is een verschuiving naar de meer mobielere apparaten die mensen gebruiken. Anderzijds betreft het over de grootte van gegevensopslag. Twee respondenten zeggen dat 10 jaar terug waren harde schijven ongeveer 40 gigabyte en nu bevatten steeds meer computers harde schijven van twee terabyte (komt overeen met 2048 gigabyte). Een respondent geeft aan dat de snelle evolutie van gegevensopslag voor problemen zorgt. Ten eerste kunnen de forensische tools de snelheid waarmee de opslagcapaciteit verdubbelt niet volgen. Ten tweede zorgt de groei van opslagcapaciteit ervoor dat het bedrijf steeds opnieuw moet investeren in grotere storage. Tenslotte wordt door één van de respondenten opgemerkt dat er een evolutie is in de kennis van de mensen. Vroeger wist niemand dat webbrowsers geschiedenis bijhielden en dat deze geraadpleegd konden worden. De mensen zijn zich daar nu bewuster van. Dat zorgt ervoor dat ze preventieve stappen gaan nemen om sporen te wissen, zoals bijvoorbeeld secure delete (voor het effectief verwijderen van bestanden op een gegevensopslag) en het encrypteren van bestanden. Voor de forensische onderzoekers creëert dit een grotere uitdaging. Deze evoluties samen zorgen ervoor dat de forensische onderzoeker steeds bijgeschoold moet worden over de nieuwste technieken en methoden. Doch neemt één van de respondenten een opmerkelijk fenomeen waar. Volgend fragment illustreert dit. 42
Ondanks het feit dat het technologisch allemaal gemakkelijker wordt om bijvoorbeeld gegevens te encrypteren, zoeken mensen het meestal niet zo ver. Achteraf zeggen wij altijd maar jongen, zijt ge nu zo n een dommerik geweest om het zo open en bloot te laten. Dat is iets dat frappeert. Bij een fraude zit een zeer gecompliceerd fraudemechanisme, maar staat wel open en bloot op de server. Alleen is het ingenieus verborgen. Niet van weggestopt in onleesbare bestanden, maar gewoon connecteer op X of op Y en X mag gezien worden, Y is het zwart. En tussen de twee is er geen link, maar afhankelijk hoe je programma opstart zit ik in de zwarte of in de rest van het verhaal. Eenmaal dat je dat doorhebt, dan is het domweg om de data eruit te trekken en je hebt het. Het enigste verschil met vroeger is dat het nu elektronisch staat. Nog iets dat ik frappant vind. Een fraudeonderzoek van een firma waarbij één van de zaakvoerders vond dat hij nog niet genoeg geld verdiende. In een mail naar een betrokken partij schreef hij zoveel gaat naar u, zoveel naar mij en hij tekende onderaan zijn e-mail your partner in crime. Dan denk je achteraf hoe idioot kun je eigenlijk wel zijn. 4.1.3 Rol private opsporing In de bestrijding van computercriminaliteit wordt een onderscheid gemaakt tussen drie functies waar de private opsporing een rol in speelt. Ten eerste is er de leerfunctie. Een respondent geeft les aan privédetectives over computercriminaliteit. Aan de hand van cases toont hij aan hoe sporen kan teruggevonden worden op digitale gegevensdragers. Zijn doel is om privédetectives bewust maken dat ze niet alleen aan de hand van mensen achtervolgen en foto s nemen informatie kunnen verkrijgen. Ten tweede wordt de preventiefunctie door een respondent vernoemd. De respondent plaatst artikels rond internetfraude op de website van zijn onderneming. Doel van de artikels is om zowel andere ondernemingen als burgers bewust te maken van de gevaren op het internet. Maar de preventiefunctie bij de ondernemingen verloopt wat stroef. De respondent geeft volgende aan: We proberen preventie-advies te verlenen, maar bij ondernemingen ligt dat wat moeilijker. Dat is misschien iets typisch voor een Belg. Als je komt verkondigen let op, dan zeggen ze dat het niet bij hun van toepassing is. Wanneer hebben ze het dan wel nodig? Als het brand natuurlijk. Maar als je zegt het is misschien niet slecht om een brandblusser te plaatsen of een branddetectiesysteem te installeren dan zeggen ze allemaal neeneen. Bij mijn buur of onderneming X of Y, ja. Maar bij ons niet. Dat is wel wat moeilijk. Nu, daar komt wel een beetje verandering in. Toch als wij optreden is het in 80% van de gevallen brandweerfunctie en 20% preventieve werk. 43
Tenslotte spreekt één van de respondenten over een building a secure society. Één van de missie van de onderneming is om aan veiligere wereld te werken. Een andere respondent geeft dit ook aan. Mensen mogen hen steeds contacteren voor een vrijwillig advies. Beide respondenten zeggen dat zij dit het beste kunnen doen omdat zij over de meeste expertise beschikken. 4.2 Digitaal bewijsmateriaal 4.2.1 Digitaal forensisch onderzoek Er wordt in het onderzoek vijf stappen gedifferentieerd. Alhoewel één van de stappen overlapping vertoont. De eerste stap, door twee van de respondenten besproken, is de opdrachtomschrijving. De opdracht moet duidelijk gedefinieerd worden vooraleer er aan het onderzoek begonnen kan worden. Alle relevante informatie moet erin voorkomen zoals wat er onderzocht moet worden, wat het doel van het onderzoek is, hoeveel tijd de onderzoeker heeft, welke beperkingen zijn er, etc. De volgende stap is het nemen van een forensisch kopie van de gegevensdrager. Deze stap wordt door de drie respondenten als belangrijk beschouwt. Een respondent illustreert het belang van dit proces in het fragment dat onder deze alinea wordt weergegeven. Twee van de drie respondenten zeggen dat ze twee forensische kopieën nemen van de gegevensdrager. Één dient als werkkopie waarop het onderzoek zal gevoerd worden en het andere wordt gebruikt om te bewaren of om aan de tegenpartij te geven. Die fase is om twee reden zeer belangrijk. Ten eerste, als je die gegevens niet goed vastlegt in het begin en je komt te laat achter dat je niet alle gegevens hebt of op een niet goeie manier gekopieerd hebt, dan heb je de gegevens niet ter beschikking. En dan kan je ook geen onderzoek op doen. En dan kan het gebeuren dat de persoon de gegevens heeft gewist of zelf overgeschreven heeft. En dan heb je ze niet. Het is dus belangrijk dat je op dat moment er goed bij stil te sta wat je precies wilt onderzoeken en op welke manier je het best veilig stelt. En het tweede aspect is het afbreukrisico. Dat is een meer juridische kwestie dan een technische kwestie is. Als je een onderzoek afgerond hebt en het komt tot een juridische geschil, en dat is vaak zo. Dan moet de rechter kijken wie het onderzoek heeft uitgevoerd. Is het door een onafhankelijke partij gebeurd? Want als het door de opdrachtgever zelf is uitgevoerd, hoe objectief is het onderzoek gebeurd. En dan gaat hij kijken het is door een onafhankelijk persoon uitgevoerd, maar is de data ook verkregen door een onafhankelijke persoon of werd de data door de opdrachtgever geleverd? Want als het door de opdrachtgever geleverd werd, 44
dan is er altijd de vraag wat er gebeurd is tussen het moment dat onze onderneming de data ontvangen heeft en het moment dat de opdrachtgever het gekopieerd heeft. Hoe weet je of het integer is behandelt. Daarom is belangrijk om zo vroeg mogelijk in de data te verkrijgen De derde stap is de analysefase. Hoe deze fase verloopt hangt sterk af van wat er in de opdrachtomschrijving staat. Er worden onderzoeksvragen opgesteld. Deze vragen kunnen soms zeer specifiek zijn en soms zeer breed. Het is belangrijk dat de onderzoeksvragen duidelijk opgesteld worden, want het onderzoek wordt gevoerd binnen deze onderzoeksvragen. Het is ook juridisch belangrijk dat het onderzoek duidelijk gekaderd is. Anders kunnen de onderzoekers dit niet verantwoorden tegenover een rechter of de commissie voor de bescherming van de persoonlijke levenssfeer. De onderzoekers mogen ook enkel de dingen rapporteren die relevant zijn voor het onderzoek. Dit is om fishing expedition te voorkomen. Vervolgens volgt de interpretatie van de verkregen informatie. Deze stap vertoont veel overeenstemming met voorgaande stap. Een respondent geeft aan dat de analysefase en interpretatiefase steeds afwisselen. Bij de interpretatie wordt er soms externe stukken erbij genomen om na te gaan of hetgeen wat er gevonden werd wel met de werkelijkheid overeenkomt. Een andere respondent zegt dat er niet geanalyseerd kan worden zonder interpretatie en vice versa. Tenslotte wordt er een rapport geschreven met de resultaten die verkregen werden op de onderzoeksvragen. In de conclusie van het rapport wordt geschreven of het aannemelijk of waarschijnlijk is dat de persoon zich schuldig maakt aan de feiten die beschreven staan in de opdrachtomschrijving. Het rapport wordt persoonlijk afgegeven aan de opdrachtgever en de resultaten worden besproken. De respondenten geven aan dat ze ervoor moeten zorgen dat het rapport niet te technisch mag zijn, dat het begrijpbaar is voor mensen die daar niets van afweten. 45
4.2.2 Kwaliteit bewijsmateriaal De respondenten zorgen er allemaal voor dat het bewijsmateriaal niet gecontamineerd wordt. Enkel de belangrijkste methodes worden hier weergegeven. Een respondent spreekt over twee stappen. Ten eerste moet de software die gebruikt wordt gecertifieerd en gegarandeerd de gegevens in readonly -mode uitlezen. Ten tweede moet de onderzoeker ervoor zorgen, door allerlei controles uit te voeren, dat het bewijsmateriaal veilig gesteld werd. Dan zijt ge 200% zeker. 100% zeker door die software en nog eens 100% erbij als je die bijkomende controles erbij doet. En dat is zo n beetje de manier hoe wij garanderen dat het bewijsmateriaal veilig is gesteld. Één van die controles, en dit wordt door de drie respondenten aangegeven, is het gebruik maken van hashs. Op het moment dat de onderzoekers het bewijsmateriaal gaan veilig stellen, door een forensische kopie te nemen, wordt een hash-waarde berekent, zoals MD5 en SHA1. Met die hashwaarde kunnen de onderzoekers in elk latere stadium opnieuw kijken dat het kopie identiek is met de kopie die destijds genomen werd, want de hash-waardes zijn identiek. Een andere manier van controle is het gebruiken van write-blockers. Als een gegevensdrager op een computer wordt aangesloten gaat het computersysteem een prullenbak op de gegevensdrager zetten. Dan is het geen originele geldige gegevensdrager meer, want er is op gewijzigd. Al is het maar één byte, het is gewijzigd. De tegenpartij kan dus zeggen dat de gegevensdrager veranderd is, en dus niet meer geldig is. Een write-blocker is hardware waarop de gegevensdrager op aangesloten wordt. Deze hardware gaat ervoor zorgen dat de gegevensdrager enkel uitgelezen kan worden. Hierdoor wordt er voorkomen dat er iets aan de gegevensdrager wordt gewijzigd. De drie respondenten geven aan dat ze ervoor opgeleid zijn. De soort van opleiding verschilt wel sterk van elke respondent. Zo heeft één van de respondenten een opleiding gevolgd bij Encase (producent van forensisch software-pakket), een andere respondent heeft een opleiding forensic auditor gevolgd bij het Institute of Forensic Auditors (IFA) en de laatste respondent tenslotte heeft een specialisatie in informatiebeveiliging gevolgd aan een universiteit. Maar ze geven wel aan dat zij over de kennis beschikken om te garanderen dat het bewijs integer blijft. 46
4.2.3 Doel van digitaal bewijsmateriaal Het doel van digitaal forensisch onderzoek is om de feiten te achterhalen. De bevindingen van het onderzoek worden in een rapport neergeschreven en samen met het digitaal bewijsmateriaal aan de opdrachtgever bezorgt. Wat is het doel van het digitaal bewijsmateriaal? Enerzijds zeggen alle respondenten dat de keuze bij de opdrachtgever ligt. De onderzoekers doen enkel aan fact finding. Wat de opdrachtgever met het bewijsmateriaal doet, is zijn zaak. Als de opdrachtgever kiest om met het bewijsmateriaal naar de rechter te gaan, dan zullen de onderzoekers daarvan op de hoogte gebracht worden. Maar in de meeste gevallen wordt het bewijsmateriaal gebruikt om het conflict intern, in de onderneming zelf, op te lossen. Een respondent illustreert in onderstaande fragment waarom de opdrachtgever meestal voor interne conflicthandeling kiest. Bedrijven staan niet te springen om strafklacht in te dienen. Er wordt dan een politioneel onderzoek gevoerd en er zijn dan mensen die net iets teveel praten. Twee dagen later komt het dan in de pers. Meestal staan ze er niet om te springen. Zeker niet als het iets is dat intern opgelost kan worden. Waarvan er een vermoeden is, nog niet zeker is, onmiddellijk al met een bazooka schieten? Dan is het voor de persoon in kwestie, de mogelijke verdachte, al opgebrand als het ware. Die ga je ook niet meer op een positieve manier kunnen inschakelen in uw onderneming. Anderzijds, zegt een respondent, wordt het digitaal bewijsmateriaal gebruikt als input voor het volgende proces. Er zijn weinig gevallen van fraudeonderzoeken waar het louter en alleen digitaal forensisch onderzoek is. Er is altijd digitaal forensisch onderzoek maar het maakt deel uit van een groter plaatje. Sommige gevallen, zoals computerinbraak, is digitaal forensisch onderzoek een alleenstaande wapenfeit. 4.3 Samenwerking Het is van belang dat de onderzoekers onafhankelijk werken. Dit wordt door één van de respondenten aangegeven als ontstaansrede. Wat als twee vennootschappen met elkaar in conflict zitten maar banden hebben met dezelfde auditkantoor? Toch zijn er verschillende samenwerkingsverbanden opgegeven met elk zijn functie. De opdrachtgever wordt als belangrijkste samenwerkingsverband vernoemd. De opdrachtgevers bij de respondenten zijn voornamelijk ondernemingen die via een advocatenkantoor in contact komen met de onderzoeker. Twee van de 47
drie respondenten geven ook aan dat in 20 tot 30% van het aandeel opdrachten afkomstig zijn van overheidsinstellingen zoals administratie, parlement, gemeentebesturen, OCMW s, etc. Samenwerking met advocaten wordt door twee van de respondenten opgegeven. Het is de bedoeling dat de advocaten de onderzoekers de nodige juridische ondersteuning geeft bij het uitvoeren van hun taken. De resultaten van het onderzoek worden samen met de advocaten afgetoetst om na te gaan of alles wettelijk is gebeurd. De onderzoekers kennen de wetten niet tot in de puntjes, dat is de taak van de advocatuur. De onderzoekers doen enkel aan fact finding. Een respondent zegt dat een vaste samenwerkingsakkoord te hebben met de reguliere opsporingsdiensten inzake informaticacriminaliteit. Er zijn meerdere redenen voor het ontstaan van deze samenwerkingsakkoord. Eerst en vooral beschikt de reguliere opsporingsdiensten niet over voldoende en geschikte middelen. Het is dan ook de taak van de onderneming van de respondent om de reguliere opsporingsdiensten te voorzien van de nodige software (vb.: een softwarepakket voor het analyseren van internetverkeer van een verdachte). Vervolgens kan het gebeuren dat de reguliere opsporingsdiensten overladen zijn van opdrachten. Ze kunnen dan een aantal van hun opdrachten overdragen aan de private opsporingsdienst. De twee andere respondenten zeggen dat ze occasioneel contact hebben met de CCU s. Als de politie beroep op hun doet, dan is het meestal als expert. De CCU s hebben niet alles onder knie, zoals bijvoorbeeld het financiële aspect, en moeten daarom soms beroep doen op externe krachten. In het algemeen wordt door de drie respondenten een positief verloop met de reguliere opsporingsdiensten ervaart. De respondenten geven ook aan dat ze meer expertise hebben dan de reguliere opsporingsdiensten. Niet alleen op vlak van informatica, maar ook op andere vlakken zoals bijvoorbeeld boekhouding. Daarnaast beschikken de private opsporingsdiensten over meer middelen omdat ze de kosten kunnen doorschuiven naar de opdrachtgever. De respondenten beweren dat ze een meerwaarde opleveren ten opzichte van het werk van de reguliere opsporingsdiensten. Tenslotte worden door twee respondenten samenwerking met privédetectives vermeld. De privédetectives zorgen ervoor dat gegevens verzameld worden uit het veld die aan het dossier kunnen toegevoegd worden. Zoals reeds gezegd, zijn de meeste gevallen fraudeonderzoeken geen louter digitaal forensisch onderzoeken. Er zijn andere bewijsmaterialen nodig die kunnen helpen om de zaak op te lossen. In deze gevallen voeren privédetectives voornamelijk interviews en observaties uit. 48
4.4 Knelpunten Een eerste hinderpaal die de respondenten aangeven is juridisch van aard. De onderzoekstappen die de onderzoekers kunnen zetten is afhankelijk van het mandaat dat ze krijgen van de opdrachtgever. De onderzoekers mogen dan enkel de digitale gegevensdragers onderzoeken die eigendom zijn van de organisatie van de opdrachtgever of waarvan de organisatie het in bruikleen geeft aan de werknemer. Als de opdrachtgever vraagt om een digitale gegevensdrager te onderzoeken die als persoonlijke bezitting wordt beschouwd van de werknemer, dan moet er toestemming gekregen worden van de werknemer. De reguliere opsporingsdiensten kunnen aan de hand van de wetboek op Strafvordering een laptop in beslag nemen om daar dan onderzoek op te voeren. Private onderzoekers hebben die bevoegdheden niet. Hetzelfde geldt voor het traceren van IP-adressen. Elke computer die verbonden is met het internet krijgt een unieke IP-adres toegewezen van de internetprovider. Enkel aan de hand van een kanttekening van de onderzoekersrechter kunnen reguliere opsporingsdiensten de klantgegevens krijgen die behoren tot een welbepaald IP-adres. Private onderzoekers hebben die mogelijkheid niet. Technische problemen worden door twee respondenten ondervonden. Enerzijds beschikken de respondenten soms niet over de nodige software voor het uitlezen van bepaalde bestanden. En anderzijds vormt de evolutie van opslagcapaciteit ook een probleem. Forensische softwareproducenten kunnen de snelle evolutie van opslagcapaciteiten niet volgen. En voor de ondernemingen in de private veiligheidssector is het steeds een zware investering om deze evolutie te blijven volgen. Er wordt geen financiële belemmering opgesomd als mogelijk knelpunt. Alle kosten worden doorgeschoven naar de opdrachtgever. Een respondent geeft wel aan dat het soms frustraties kan opbrengen bij de opdrachtgever. De opdrachtgever betaald voor iets dat misschien niet ontdekt kan worden. Een andere respondent geeft aan dat opdrachtgevers het uit te voeren onderzoek moet afwegen met het gepleegde feit. Enkel bij serieuze zaken is het echt nuttig om een onderzoek te voeren, waar de kost van het onderzoek maar een fractie is van het gepleegde feit. 49
5 DISCUSSIE 5.1 Digitaal forensisch onderzoek Zoals in de probleemstelling wordt aangegeven creëren nieuwe technologieën mogelijkheden voor het plegen van criminaliteit. Dit wordt ook door de private opsporing opgemerkt. De private opsporing merkt hierbij een verschuiving van de grotere mainframe-achtige constructies naar de nieuwe mobiele technologieën zoals blackberries, iphones, etc. Ook ervaart de private opsporing een evolutie in de kennis die de mensen nu hebben over deze technologie. Dit zorgt ervoor dat de uitdaging voor het vinden van digitaal bewijsmateriaal steeds groter wordt. Of de omvang van computercriminaliteit stijgt, kon niet onderzocht worden. De private opsporing wordt voornamelijk belast met het zoeken naar computercriminaliteit bij bedrijven en minder bij de gewone burgers. Dit wil niet zeggen dat er bij bedrijven meer computercriminaliteit is. Bedrijven beschikken over meer financiële middelen om dergelijke onderzoeken te voeren. Daarnaast kunnen de gevolgen bij de bedrijven veel groter zijn. Uit vrees dat de gevolgen worden bekend gemaakt wordt beroep gedaan op de private opsporing. Bedrijven hebben doorgaans meer vertrouwen in de vertrouwensband met de private opsporing dan met de reguliere politie. Aan burgers wordt advies verleend over de mogelijke gevaren van het internet. Er wordt als het ware een tweedeling in risico als in veiligheid vastgesteld. Verder onderzoek bij burgers en bedrijven zou de omvang van het fenomeen computercriminaliteit in kaart kunnen brengen. Ook de keuze tussen private opsporing en reguliere opsporing zou verder onderzocht kunnen worden. De procedure die de private opsporing gebruikt voor het zoeken naar digitaal bewijsmateriaal toont heel wat overeenstemming met wat in de fenomeenanalyse werd beschreven. Tijdens de identificatie wordt de opdracht beschreven. Voor de private opsporing is dit een belangrijke fase. De opdracht moet duidelijk omschreven zijn om phishing expedition te vermijden. Soms wordt naast het bespreken van de opdracht met de opdrachtgever, de mogelijke verdachte geïnterviewd door een private onderzoeker. Vervolgens wordt het bewijsmateriaal veilig gesteld. Dit doen ze aan de hand van een forensische kopie, ook wel veiligheidskopie genoemd. Bij een forensisch kopie wordt het digitaal bewijsmateriaal gekopieerd op een andere digitale gegevensdrager. De forensische kopie is identiek aan het originele. Na het nemen van de veiligheidskopie wordt een analyse gevoerd. Aan de hand van de opdrachtomschrijving worden er hypothesen opgesteld. Om de hypothesen te beantwoorden wordt een zoeking gevoerd op de forensische kopie. Er wordt zo weinig mogelijk 50
gewerkt op het origineel. De resultaten worden vervolgens geïnterpreteerd. Soms wordt een onderscheid gemaakt tussen een analyse- en interpretatiefase. Maar deze fasen komen in het algemeen samen voor. Voor het analyseren van een digitale gegevensdrager wordt de voorgaande verworven bewijsmateriaal geïnterpreteerd. De procedure wordt steeds op dezelfde manier uitgevoerd. Dit is belangrijk voor de integriteit van het bewijsmateriaal. Indien de integriteit van het bewijsmateriaal geschaad wordt, dan kan deze niet gebruikt worden in een rechtszaak. Er worden voldoende controles (zoals hash-values write-blockers, etc.) uitgevoerd om na te gaan of het bewijsmateriaal niet gecontamineerd werd. Opleidingen kunnen ervoor zorgen dat de kwaliteit van het bewijsmateriaal optimaal blijft. Maar voor de uitvoering van digitaal forensisch onderzoek bestaat er voor de private opsporing verscheidene opleidingen. De problematiek omtrent opleidingen wordt verder in Paragraaf 5.3 besproken. Vervolgens worden de tools die de private opsporingsdiensten gebruiken uitvoerig beschreven in wetenschappelijke documenten. Om na te gaan of de integriteit behouden werd, wordt elke stap grondig gedocumenteerd. Doordat elke stap beschreven wordt, is het mogelijk om the routing of custody te volgen. Dit document is van groot belang wanneer het bewijsmateriaal voor de rechter moet komen. Hoofdtaak van deze private opsporingsdiensten is om de feiten te achterhalen ( fact finding ). Op het einde wordt aan de opdrachtgever een rapport gegeven met al de bewijsmaterialen die gevonden werden. Het rapport wordt enkel aan de opdrachtgever gegeven. De opdrachtgever wordt de keuze gelaten wat ermee gaat gebeuren. Om dezelfde redenen als de keuze van opsporing wordt het bewijsmateriaal voornamelijk gebruikt voor interne conflictoplossing. Welke gevolgen dit heeft voor de verdachte kon niet onderzocht worden. De private opsporingsdiensten komen zelden in contact met de mogelijke verdachte. De contacten met de verdachte zijn meestal beperkt tot enkel en alleen een interview. In de literatuurstudie is weinig geweten over samenwerkingen in de private veiligheidssector. In dit onderzoek wordt de samenwerking onderzocht. De private opsporing werkt in de eerste plaats onafhankelijk. Dit dient om inmenging te verhinderen. Maar soms is samenwerking noodzakelijk. Zo werkt de private opsporing samen met privédetectives voor het zoeken naar bewijsmateriaal in het veld. Digitaal forensisch onderzoek is geen alleenstaand onderzoek. Naast digitaal bewijsmateriaal is ook ander bewijsmateriaal nodig. En soms kan digitaal bewijsmateriaal niet geïnterpreteerd worden zonder gegevens die extern beschikbaar zijn. Daarnaast wordt er samengewerkt met een aantal overheidsinstellingen. De voornaamste overheidsinstellingen geven opdrachten aan de private opsporing zoals de andere opdrachtgevers. Waarom deze 51
overheidsinstellingen beroep doen op de private opsporing kon niet onderzocht worden. Ook de reguliere opsporing werkt samen met de private opsporing. Hoe deze relatie zich verhoudt, wordt besproken in Paragraaf 5.4. Tenslotte werkt de private opsporing samen met advocaten. De private opsporing kent de WIC maar niet tot in het detail. Daarvoor hebben zij het juridisch advies nodig van een advocaat. De resultaten van het onderzoek worden samen met de advocaten afgetoetst om de wettigheid na te gaan. Er worden in de literatuur een aantal knelpunten aangegeven die in dit onderzoek niet gevonden werden. Daarentegen worden door de private opsporing wel problemen ondervonden wat betreft het verschil in bevoegdheden. De reguliere opsporingsdiensten beschikken over het algemeen over meer bevoegdheden dan de private opsporingsdiensten. Dit kan ervoor zorgen dat het onderzoek uitgevoerd door de private opsporing soms niet uitgevoerd kan worden. Daarnaast creëert de technische evolutie voor twee problemen. Enerzijds kunnen de forensische softwareproducenten de snelle evolutie van digitale gegevensdragers niet volgen. Hierdoor wordt de digitaal forensische onderzoeker gehinderd omdat hij niet over geschikte tools beschikt. Anderzijds zorgt de snelle evolutie van opslagcapaciteit ervoor dat de private sector steeds hun technische infrastructuur moeten vernieuwen. Dit zorgt voor een extra financiële kost. Uiteindelijk wordt de financiële kost wel doorgerekend aan de opdrachtgevers. Deze onverwachte meerkosten kunnen voor frustraties zorgen bij opdrachtgevers. 5.2 Vergunning Artikel 1 van de wet van 19 juli 1991 tot regeling van het beroep privédetectives 31, beschouwt een privédetective als elke natuurlijke persoon die gewoonlijk, al dan niet in ondergeschikt verband, tegen betaling en voor een opdrachtgever bepaalde activiteiten uitoefent. Wanneer deze kenmerken simultaan aanwezig zijn, treft het om een privédetective. Verder in artikel 1 staat dat de activiteiten van de privédetective bestaan uit: 1 Het opsporen van verdwenen personen of verloren of gestolen goederen; 2 Het inwinnen van informatie omtrent burgerlijke staat, gedrag, moraliteit en vermogenstoestand van personen; 3 Het verzamelen van bewijsmateriaal voor het vaststellen van feiten die aanleiding geven of kunnen geven tot conflicten tussen personen, of die aangewend kunnen worden voor het beëindigen van die conflicten; 4 Het opsporen van bedrijfsspionage; 5 31 Art. 1 Wet 19 juli 1991 tot regeling van het beroep van privé-detective, B.S. 2 oktober 1991. 52
Elk andere activiteit bepaald bij een in ministerraad overlegd Koninklijk Besluit. Het volstaat dat er één van de opgesomde activiteiten wordt uitgeoefend opdat de wet van toepassing is. Elke privédetective is verplicht een vergunning te hebben (zie ook 2.4.3 Wettelijke aspecten). 32 Toch zijn twee van de drie respondenten niet in het bezit van een vergunning privédetective. Vallen deze respondenten dan niet onder de wetgeving van privédetectives? De antwoorden op de vraag waarom ze al dan niet een vergunning verschillen. De respondent met vergunning privédetective antwoordt op de vraag als volgt: Wij hebben een vergunning, dit is een verplichting. Dus alle personen in de afdeling digitaal forensisch onderzoek hebben zo n vergunning. We hebben een examen moeten doen. Officieel mag je namelijk geen onderzoeken doen als je geen vergunning hebt. Je moet, als je in opdracht van iemand persoonsgerichte onderzoek verricht, verplicht een vergunning hebben. Bedrijven, grote ondernemingen, die een eigen onderzoeksafdelingen hebben, zijn dit niet verplicht. Één van de respondenten zonder vergunning verdedigt zich als volgt: Wie zegt dat ik als privé persoon geen misdrijf mag opsporen? Ik mag toch een misdrijf opsporen. Ik ben zelfs verplicht om een misdrijf aan te geven als ik het zie, als burger. In de wet van de informaticacriminaliteit staat dat eenieder moet meewerken aan de opheldering van een onderzoek. Dus ook als privé persoon. Dus voor mij hoef je niet echt een batch te hebben van privédetective. Ik weet dat privédetectives enorm mee zwaaien. En dan ga ik altijd van oké, forensisch onderzoek wie gaat dat doen bij jullie? Niemand, want niemand die het kan. De andere respondent die niet in het bezit is van een vergunning privédetective behoort tot een forensische auditkantoor gespecialiseerd in fraudeonderzoek. Een forensische auditor is een forensische deskundige op financieel terrein die zich ten behoeve van de rechtshandhaving bezighoudt met het verzamelen, controleren, verwerken, analyseren en rapporteren over al dan niet financiële gegevens. Het gaat met name om deskundigheid die ten dienste staat van het publiek of privaat onderzoek in zaken waarin een ongewenste gedraging vanwege het financieel voordeel centraal staat (Schaap, 2000, p. 15). Het verschil tussen het statuut van een privédetective en die van 32 Art. 2 Wet 19 juli 1991 tot regeling van het beroep van privé-detective, B.S. 2 oktober 1991. 53
een forensische auditor ligt op de nadruk van bestrijding van criminaliteit waarvan geldelijk gewin doel en/of middel is. Bovendien dient de forensische auditor ook kennis te hebben van relevante onderdelen van het recht en van inzichten uit de criminologie. Hij of zij dient immers steeds feiten te onderzoeken, doorgaans vertrekkende vanuit de financieel-administratieve omgeving van een organisatie, deze te relateren aan één of meerdere personen en te plaatsen in een juridische context (De Bie, 2001, p. 99). De vraag rijst dan of forensische auditors niet moeten beschikken over de vergunning privédetective. Deze vraag is immers van belang, want wanneer een forensische auditor bij het verzamelen van bewijsmateriaal de wet overtreedt leidt dit tot onrechtmatig verkregen bewijs. Hierbij moet een duidelijk onderscheidt gemaakt worden tussen informatie-inwinning bij belanghebbenden en opsporingswerkzaamheden bij derden (De Bie, 2001, p. 106). Een Koninklijk Besluit van 1994 voorziet met name in een uitzondering voor handelingen die erin bestaan informatie in te winnen bij belanghebbenden. 33 Belanghebbenden zijn de opdrachtgever en diegene die het voorwerp van het onderzoek maken (Cappelle & Van Laethem, 1997, p. 151). Dit zou dus betekenen dat een forensische auditor informatie vanwege de opdrachtgever en de mogelijke verdachte kan opvragen zonder dat daarvoor de vergunning vereist is. In het geval van internetfraude houdt dit bovendien in dat forensische auditors interviews kunnen afnemen van de opdrachtgever en de mogelijke verdachte zonder over de vergunning privédetective te beschikken (De Bie, 2001, p. 106). Hoe het begrip opdrachtgever (zaakvoerder, aandeelhouder, ploegbaas, etc.) en mogelijke verdachte (specifieke persoon of een hele afdeling) geïnterpreteerd mag worden blijven evenwel onduidelijk. 5.3 Opleidingen De drie respondenten hebben elk een verschillende opleiding gevolgd. In België bestaan niet veel opleidingen betreffende digitaal forensisch onderzoek. Op het internet wordt de mogelijkheid gegeven om een aantal opleiding online te volgen. Deze opleidingen worden meestal gegeven door softwareproducenten van digitaal forensisch onderzoekssoftware (Guidance Software, 2011). Maar daar bestaat geen kwalitatief bewijs van. 33 Art. 1, 2 Koninklijk Besluit 30 juli 1994 tot vaststelling van de lijst van beroepen en activiteiten die niet beschouwd mogen worden als bedoeld in de wet tot regeling van het beroep van privé-detective, B.S. 14 september 1994. 54
Het IFA (2011) biedt een aantal opleidingen voor. Dit is natuurlijk enkel gericht naar forensische auditors. Ook het managementschool van Antwerpen (2011) geeft een opleiding betreffende forensisch auditing. In de opleiding informatica worden door sommige hogescholen en universiteiten een lespakket computer- en netwerkbeveiliging gegeven (KHLeuven, 2011; KULeuven, 2011). Maar dit blijft zeer beperkt wordt door een respondent opgemerkt: Er zijn opleidingen die gericht opleiden tot forensische onderzoeken, maar het is nog een beetje discutabel hoe goed die opleidingen zijn. Ze zijn nieuw en technisch nog niet zo heel sterk aangelegd. We zoeken ook niet naar mensen die specifiek bepaalde opleidingen hebben gehad. Je moet een bepaalde mind hebben. Dat is belangrijker dan de opleiding. Een respondent vertelt dat hij zijn kennis test via Honeypots. Honeypots zijn online wedstrijden waarbij een fictieve case wordt gegeven. Het is de bedoeling dat digitaal forensische onderzoekers (en hobbyisten) de zaak oplossen. Het doel van honeypot/-net project is om ervoor te zorgen dat forensische onderzoekers mee zijn met de evolutie in computercriminaliteit en met de nieuwste technologische hulpmiddelen (Honeynet Project, 2011). De respondent doet niet mee met de wedstrijden, maar bekijkt achteraf of hij dezelfde resultaten heeft behaald. Aan de State University of Florida (2011) bestaat de mogelijkheid om Computer Criminology te volgen. In bijlage (zie Bijlage 5) staat de lijst met vakken die gevolgd kunnen worden. Het valt op dat er een algemene basis is voor criminologie en vervolgens criminologie toegepast wordt op het thema. Naast de criminologische vakken, worden er technische en forensische vakken gegeven. Deze opleiding bevat zowel de theoretische als de technologische kant van de zaak. 5.4 Private of reguliere opsporing? Zowel de private als de reguliere opsporingsdiensten staan in voor de bescherming van de maatschappij. De private opsporing voert voornamelijk onderzoek omwille van het economischfinancieel verlies die het bedrijf ondervindt. Waarom kan de reguliere opsporing dit niet voorkomen? Uit de interviews kwamen verscheidene redenen aan het licht waarom een bedrijf opteert voor een regulier of een privaat onderzoek. De belangrijkste reden waarom een bedrijf eerder naar de private sector stapt, die steeds naar voor komt, is de schrik om op een negatieve manier in de media te komen. Uit Paragraaf 2.4 werden een aantal verklaring gegeven waarom de private opsporing ontstaan is. Een respondent geeft aan dat zijn onderneming werd opgericht omdat er in de 55
civielrechtelijke sector een grote vraag was naar digitaal forensisch onderzoek. Aan de hand van de expertise die opgedaan werd in de strafrechtssector hebben ze de onderneming opgericht. De meerwaarde in vergelijking met de reguliere opsporing wordt door de private opsporing opgegeven. De onderzoekersteams in de private opsporing worden meestal multidisciplinair samengesteld. Hierdoor bundelen zij hun kennis (technisch, economisch, juridisch, etc.) samen. Volgens de private opsporing beschikken zij over meer technische kennis van hun collega s. Het internet heeft aan belang gewonnen en hierdoor wordt er steeds meer internetverkeer afgetapt voor onderzoek. Maar gewone politieambtenaren beschikken niet over voldoende technische kennis om bytes te decoderen en om te zetten naar bijvoorbeeld e-mails, chat-berichten, bestandsuitwisseling, etc. Een respondent geeft aan dat zijn onderneming een softwarepakket heeft opgesteld die de gewone politieambtenaar in staat stelt om heel snel een indruk te krijgen van wat er op een bepaald computersysteem staat. Zo moet er geen forensisch kopie genomen worden van digitaal gegevensdrager waar niks nuttigs op staat. Er kan snel nagegaan worden welke computers van belang zijn voor het onderzoek. Het zorgt er ook voor dat de technische afdeling bij de reguliere opsporing minder belast wordt. De werklast bij de reguliere opsporing ligt overwegend hoog. Wanneer de reguliere opsporing de werklast niet meer aankan, kunnen ze beroep doen op de private opsporing. Cybercriminaliteit (vb.: spionage via het internet, sabotage van het bedrijfsnetwerk, hack-aanvallen, etc.) is constant aan verandering onderhevig. Volgens de private opsporing hebben de inlichtingen- en reguliere opsporingsdiensten grote moeite om deze veranderingen bij te benen. De private opsporing is beter in staat om deze evolutie op te volgen en hun kennis te delen met de reguliere opsporing. Tenslotte beschikt de reguliere opsporing meestal niet over voldoende financiële middelen om de hulp van de private opsporing te vragen. Het onderzoek dat door de private opsporing gebeurd is afhankelijk van het budget dat de opdrachtgever aan wilt geven. De reguliere opsporing is afhankelijk van de financiële middelen die de overheid voor wilt geven. En dit is afhankelijk van het nationaal veiligheidsbeleid. Toch kunnen bepaalde onderzoeken beter verlopen bij de reguliere opsporing. Bij het aantreffen van strafbare materie tijdens het onderzoek, is de private opsporing verplicht om het misdrijf te melden bij de politie. Dit werd zowel in het wetboek van Strafvordering 34 als in de wet betreffende de privédetective 35 vastgelegd. Vervolgens voert de private opsporing zijn onderzoek volgens het 34 Art. 30 Sv. 35 Art. 16, 2, derde lid Wet 19 juli 1991 tot regeling van het beroep van privé-detective, B.S. 2 oktober 1991. 56
mandaat die hij verkregen heeft van zijn opdrachtgever. Dit kan voor heel wat hinderpalen zorgen. De reguliere opsporingsdiensten beschikken via het wetboek van Strafvordering over meer bevoegdheden van de private opsporing. Zo kunnen de reguliere opsporingsdiensten alle digitale gegevensdragers die zij nodig achtten voor hun onderzoek in beslag nemen. De private opsporing kan enkel de gegevensdragers onderzoeken waarvan de opdrachtgever eigenaar van is. Voor andere gegevensdragers moeten de onderzoekers de toestemming vragen aan de eigenaar. Ook voor het traceren van IP-adressen en telefoongegevens kan enkel de reguliere opsporingsdienst opvragen bij de corresponderende telecombedrijven. Er wordt in Nederland een debat gevoerd om het NFI te privatiseren. Hierbij zouden alle digitaal forensisch onderzoeksbureaus gelijk gesteld worden en zouden alle politiekorpsen over dezelfde financiële middelen beschikken om digitaal forensisch onderzoek te laten uitvoeren. Dat zorgt ervoor dat de private veiligheidssector een steentje kan bijdragen in de strafrechtssector. Dit komt de doorlooptijden van onderzoekstermijnen ten goede, want, zo geeft een respondent weer, bij de politie gaat digitaal forensisch onderzoek in het algemeen bijzonder traag. 57
6 CONCLUSIE 6.1 Terugkoppeling naar onderzoeksvragen De doelstelling van de meesterproef was het onderzoeken van de bestrijding van computercriminaliteit en de uitvoering van digitaal forensisch onderzoek door de private opsporing in België. Deze doelstelling werd vertaald in de vorm van vier onderzoeksvragen, namelijk: (a) In welke mate speelt de private opsporing een rol in de bestrijding van computercriminaliteit? (b) Wat is de rol van de private opsporing in het aanleveren van digitaal bewijsmateriaal? (c) Hoe verloopt de samenwerking met andere opsporingsdiensten? (d) Welke knelpunten ondervinden de private opsporingsdiensten bij het uitvoeren van digitaal forensisch onderzoek? Het beantwoorden van de onderzoeksvragen werd voorafgegaan door een literatuurstudie. Er was een verduidelijking nodig van begrippen zoals computercriminaliteit, digitaal forensisch onderzoek, digitaal bewijsmateriaal en private opsporing. Deze verduidelijking vond dan ook in Hoofdstuk 2 plaats. In Hoofdstuk 3 werd vervolgens de opzet van het kwalitatief onderzoek verduidelijkt. Aan de hand van een doelgericht steekproef werden private opsporingsdiensten gecontacteerd. De respondenten werden aan de hand van semigestructureerde interviews bevraagd. Aan de hand van de analyse van de gegevens uit de drie interviews was het mogelijk om in Hoofdstuk 4 te antwoorden op de onderzoeksvragen. Tenslotte werd in Hoofdstuk 5 een aantal punten aangehaald uit de interviews die niet teruggevonden werden in de literatuurstudie. Er werden mogelijke antwoorden gegeven voor gegevens die niet overeen kwamen met wat er in de literatuur te vinden was. Hieronder volgt een beknopt overzicht van de antwoorden op de onderzoeksvragen. De respondenten beschouwen alle criminaliteit die gebeurt via de computer als computercriminaliteit. Deze beschrijving komt overeen met de omschrijving van Taylor en Loper (2003, p. 586). De onderzoekers kennen de WIC, maar niet gedetailleerd. Betreffende de eerste onderzoeksvraag spelen de private opsporing drie functies in de bestrijding van computercriminaliteit. Ten eerste is er de leerfunctie waarbij burgers, ondernemingen en (andere) privédetectives leren hoe computercriminaliteit ontdekt kan worden. Ten tweede is er de preventiefunctie. Bij de burgers verloopt dit vlotter dan bij ondernemingen. Ondernemingen denken meestal dat zij niet getroffen kunnen worden door computercriminaliteit. Bij ondernemingen treden de private opsporing eerder op een reactieve manier, wanneer de feiten zich reeds voorgedaan heeft. 58
Toch hecht de private opsporing belang aan zijn preventiefunctie. Tenslotte werkt de private opsporing aan secure society, werken aan een veilige samenleving. De private opsporing doet enkel aan fact finding, het achterhalen van de feiten. De opdrachtgever wordt de keuze gelaten wat hij met het digitaal bewijsmateriaal gaat doen. Het digitaal bewijsmateriaal wordt voornamelijk gebruikt voor interne conflicthandeling en op de tweede plaats wordt het gebruikt als bewijs in een rechtszaak. Welke gevolgen de interne conflicthandeling heeft voor de verdachte kon niet onderzocht worden. In de private opsporing wordt het digitaal bewijsmateriaal soms gebruikt als input voor een volgende proces van het algemene onderzoek. Zoals reeds in de fenomeenanalyse aangegeven, wordt digitaal forensisch onderzoek niet enkel gebruikt om computercriminaliteit te bestrijden, maar ook om andere vormen van misdrijven te kunnen onderzoeken. De onderzoeksprocedure die door de private opsporing wordt gehanteerd toont veel gelijkenissen met de besproken definitie van McKemmish (1999, pp. 1-2). Wat betreft de samenwerking, werken de private opsporingsdiensten hoofdzakelijk onafhankelijk. Er worden een aantal samenwerkingsverbanden opgegeven. In de eerste plaats werkt de private opsporing samen met advocaten voor het verkrijgen van juridisch advies. Vervolgens wordt soms met de reguliere opsporingsdiensten samengewerkt. De private opsporing is meer gespecialiseerd omdat ze over het algemeen multidisciplinair samengesteld zijn. Ten opzichte van de reguliere opsporing vervult de private opsporing een complementaire taak op en beschikken over meer (financiële) middelen. De samenwerking met de reguliere opsporingsdiensten wordt door de private opsporing positief beoordeeld. Tenslotte werken de digitaal forensische onderzoekers ook samen met privédetectives voor het onderzoek in het veld. Tenslotte geven de private opsporing doorgaans twee knelpunten. Ten eerste beschikken de private opsporing over minder bevoegdheden dan de reguliere opsporingsdiensten. Dit kan ervoor zorgen dat het onderzoek soms vast loopt. Ten tweede zijn er technische problemen. Er worden constant nieuwe technologieën ontwikkeld die ervoor zorgt dat de onderzoekers steeds mee moet zijn met de evolutie. En de evolutie van opslagcapaciteit van digitale gegevensdrager zorgt ervoor dat de private opsporing voldoende moet financieren. De knelpunten die in Paragraaf 2.4.4 werden besproken, worden niet ervaren. 59
6.2 Aanbevelingen Per slot van rekening kunnen een aantal aanbevelingen gericht op verder onderzoek betreffende het onderwerp van de meesterproef geformuleerd worden. De steekproef die gehanteerd werd in dit onderzoek is zeker niet representatief voor alle private opsporingsdiensten. Er werden geen privédetectives bevraagd uit de eerste generatie en tweede generatie. Na een lang telefonisch gesprek met een privédetective uit de eerste generatie blijkt dat er een groot tekort is aan privédetectives met dergelijke kennis. Privédetectives uit de tweede generaties zijn te werk gesteld in bank- en verzekeringskantoren. Een aantal telefonische gesprekken met privédetectives in banken verzekeringswereld toonden het belang van vertrouwen aan. Deze privédetectives willen hun onderneming beschermen van ongewenste (negatieve) reclame. Verder onderzoek in deze sectoren zouden nochtans van groot belang zijn. Hiervoor zouden extra maatregelen moeten getroffen worden om hun integriteit te bewaren. De focus in dit onderzoek lag op de private opsporing. In de toekomst zou het interessant zijn om een grootschalig onderzoek op te richten waarbij de reguliere opsporingsdiensten worden betrokken. In de literatuur wordt weinig onderzoek gevonden wat betreft de uitvoering van digitaal forensische onderzoek door de RCCU en de FCCU. In dit onderzoek werd de samenwerking met reguliere opsporingsdiensten besproken maar vanuit het perspectief van de private opsporingsdienst. Het kan interessant zijn om het perspectief van de reguliere opsporing te kennen. Er werden in dit onderzoek een aantal knelpunten beschreven. Aan de hand van observaties zou effectief nagegaan kunnen worden op welke manier deze knelpunten zich manifesteren. Er zouden potentieel andere knelpunten gevonden kunnen worden. Er bestaat in België geen degelijke statistiek over het voorvallen van computercriminaliteit. In deze meesterproef werd het fenomeen computercriminaliteit in België besproken aan de hand van de politiestatistieken. Maar zoals zoveel andere politiestatistieken is er een groot dark number. Niet alle burgers melden computercriminaliteit aan bij de politie. Bedrijven vrezen dat de feiten besproken zullen worden in de media en voor slechte reclame zorgen. Aan de hand van een gestandaardiseerde vragenlijst opgestuurd naar zowel burgers als bedrijven zou een betere beeld van het fenomeen computercriminaliteit in België gecreëerd kunnen worden. 60
7 BIBLIOGRAFIE Access Data. (2010, Maart 8). AccessData.com. Opgeroepen op Maart 8, 2010, van Accessdata Forums: http://forums.accessdata.com/ Aerts, B. (2006). Ik wil reclame maken voor de wet op de private veiligheid. Private Veiligheid, 13-18. Afdeling Communicatie van de Europese Commissie. (2009, Juli 7). Naar een algemeen beleid voor de bestrijding van cybercriminaliteit. Opgeroepen op Maart 4, 2011, van Samenvattingen van de EU-wetgeving: http://europa.eu/legislation_summaries/justice_freedom_security/fight_against_organised_cr ime/l14560_nl.htm Amory, B., & Poullet, Y. (1985). Bewijsrecht informatica en telematica: een rechtsvergelijkende benadering. Computerrecht, 24-25. Antwerp Management School. (2011, Augustus 8). Master class Forensic Auditing. Opgeroepen op Augustus 8, 2011, van Antwerp Management School: http://www.antwerpmanagementschool.be/opleidingen/opleidingen_a_z?opleiding=30 Aps, F. (2000). Het recht op nieuwsgierigheid tussen echtgenoten en toelaatbaarheid van geluidsmateriaal in het kader van een echtscheidingsprocedure op grond van bepaalde feiten. E.J., 32-41. Armstrong, C. (2003). Developing a framework for evaluating computer forensic tools. Curtin: Curtin University of Technology. Baarda, D., de Goede, M., & van der Meer-Middelburg, A. (2007). Basisboek interviewen - Handleiding voor het voorbereiden en afnemen van interviews. Houten: Wolters-Noordhoff. B-CCENTRE. (2011, Augustus 1). About B-CCENTRE. Opgeroepen op Augustus 1, 2011, van B- CCENTRE: Belgian Cybercrime Centre of Excellence for Training, Research & Education: http://www.b-ccentre.be/?page_id=2 Beckett, J., & Slay, J. (2007). Digital forensics: Validation and verification in a dynamic work environment. Australia: University of South Australia. 61
Beirens, L. (1998). Op zoek naar criminele bits. Politeia(8), 9-12. Beirens, L. (2003). De waarheid... bitje bij bitje. Inleiding tot het forensisch onderzoek van ICT systemen. In W. Van de Voorde, J. Goethals, & M. Nieuwdorp, Multidisciplinair forensisch onderzoek: juridische en wetenschappelijke aspecten (pp. 119-148). Brussel: Politeia. Beirens, L. (2004). Het deontologische kader voor onderzoek van ICT systemen en bestrijding van ICT criminaliteit. Basisvorming FCCU-RCCU [Slides], 6. Brussel: FCCU. Beirens, L. (2005). Forensische aspecten van standalone ICT-systemen: Data Recovery. Basisvorming FCCU-RCCU [Slides]. Brussel: FCCU. Beirens, L. (2005). Werkingskader CCU-FCCU. Basisvorming FCCU-RCCU [Slides], 12. Brussel: FCCU. Beirens, L. (2009). Wettelijke aspecten van het CCU-werk. Basisvorming FCCU-RCCU [Slides]. Brussel: FCCU. Beirens, L. (2010). De politie, uw virtuele vriend? Nadenken over een beleidsmatige aanpak van criminaliteit in virtuele gemeenschappen in cyberspace. Orde van de dag(49), 51-68. Belga. (2011, Januari 11). Expertisecentrum tegen computercriminaliteit in Kortrijk. De Morgen. Boeije, H. (2006). Analyseren in kwalitatief onderzoek. Amsterdam: Boom. Boon, K. (1993, april 30). De gespecialiseerde private opsporing: een tip van de sluier opgelicht. Brussel: Politeia. Borek, J. (2001, Juli 15). Leave the cyber sleuthing to the experts. Opgeroepen op Maart 14, 2002, van http://www2.idg.com.au/infoage1.nsf/all/957738b0f8f8313bca256a6c001bb7a4?open Document Bourdoux, G., De Raedt, E., De Mesmaeker, M., Liners, A., & Berkmoes, H. (2010). De Wet op het Politieambt - Handboek van de politiefunctie. Brussel: Politeia. Britz, M. T. (2009). Computer Forensics and Cyber Crime. Columbus: Prentice Hall. Cappelle, J., & Van Laethem, W. (1997). Het statuut van de privé-detective. Brussel: Politeia. 62
Carrier, B. (2003). Defining Digital Forensic Examination and Analysis Tools Using Abstraction Layers. International Journal of Digital Evidence, 1-12. Carter, D. (1995). Computer Crime Categories. FBI Law enforcement Bulletin, 64, (21). Casey, E. (2004). Digital evidence and computer crime: forensic science, computers, and the Internet. Amsterdam: Academic Press. Clause & Partners. (2010, Maart 17). Werkwijze. Opgeroepen op Maart 15, 2011, van Clause & Partners: http://www.claus-partners.be Computer Emergency Response Team. (2009, Februari 12). CERT Statistics (Historical). Opgeroepen op April 6, 2010, van CERT: http://www.cert.org/stats Conely, C., & McEwen, J. (1990). Computer Crime. NIJ Report, 2-7. Cools, M. (1998). Private opsporing in een criminologische markt. In M. Cools, & H. Haelterman, Nieuwe sporen - Het actierterrein van de particuliere recherche in België en Nederland (pp. 15-42). Diegem: Kluwer. Cornelis, L., & Simont, L. (1987). Bewijsrecht en technologische ontwikkelingen. In P. Devroede, Technologie en Recht (p. 151). Antwerpen: Kluwer. De Bie, B. (2001). Private fraudebestrijding, anders bekeken. In VBO, Publiek-private fraudebestrijding : over de mogelijkheden van samenwerking tussen publieke en private actoren in de strijd tegen fraude (pp. 93-108). Brussel: Politeia. De Mulder, R., & Kleve, P. (2005). Privatiseren van veiligheid in interdisciplinair perspectief. In L. C. Winkel, J. J. Jansen, H. O. Kerkmeester, R. J. Kottenhagen, & V. Mul, Privatisering van veiligheid (pp. 95-106). Den Haag: Boom Juridische uitgevering. De Mulder, R., Oey, K., & Van Schelven, P. (2004). Veiligheid en IT, IT en veiligheid. In E. Muller, Veiligheid : studies over inhoud, organisatie en maatregelen (pp. 711-740). Alphen aan den Rijn: Kluwer. De Muynck, H. (2004). Informatica: Juridische aspecten - een overzicht. Tielt: Lannoo. 63
De Vries, S. (1987). Het Nederlands recherchebureau: een volwassen bedrijf. Tijdschrift voor politie. De Waele, J. (1992). Participerende observatie. Brussel: VUB Press. Deene, J., & Nerinckx, G. (2007). Praktijkboek Recht en Internet: Computercriminaliteit. Brugge: Vanden Broele. Degroote, S., Deroose, M., & Haelterman, A. (2007). Private recherche en privacy. In G. Vermeulen, Privacy en strafrecht - Nieuwe grensoverschrijdende verkenningen (pp. 473-511). Antwerpen: Maklu. Dekeyser, H., & Graux, H. (2009). Praktijkboek Recht en Internet: Bewijs en Internet. Brugge: Vanden Broele. Detectives Sebastian & Partners. (2011, Maart 15). Detectives Sebastian & Partners. Opgeroepen op Maart 15, 2011, van Detectives Sebastian & Partners - Onderzoekingen en recherches: http://www.agence-sebastian.com/ Digital Forensics Research Workshop. (2001). A Road Map for Digital Forensics Research. New York: Digital Forensics Research Workshop. Directie Private Veiligheid, FOD Binnenlandse Zaken. (2011, Maart 14). Lijst vergunde privédetectives. Opgeroepen op Maart 15, 2011, van SPV Vigiles: https://vigilis.ibz.be/upload/documents/or_detectives.pdf Dutch National Police Agency. (2009, Oktober 1). Open Computer Forensics Architecture. Opgeroepen op November 11, 2010, van Open Computer Forensics Architecture: http://ocfa.sourceforge.net/ Eckert, W. G. (1997). Introduction to forensic sciences. Boca Raton: CRC Press. E-cops. (2011, Maart 4). Disclaimer. Opgeroepen op Maart 4, 2011, van E-cops: https://www.ecops.be/webforms/disclaimer.aspx Expertisebureau Decanniere. (2008, April 15). Expertisebureau Decanniere. Opgeroepen op Maart 15, 2011, van Expertisebureau Decanniere Heule Belgium: http://www.decanniere.com 64
Farmer, D., & Venema, W. (1999). Computer Forensics Analysis Class Handouts. Yorktown Heights: IBM. Federale Gerechtelijke Politie - Directie economische & financiële criminaliteit. (2008). Jaarverslag. Brussel: Politea. Federale Gerechtelijke Politie - Directie economische en financiële criminaliteit. (2011). Jaarverslag. Brussel: Politea. Federale Gerechtelijke Politie. (2011). Nationaal politiële criminaliteitsstatistiek. Brussel: Federale Gerechtelijke Politie. Florida State University. (2011, Augustus 1). Computer criminology major. Opgeroepen op Augustus 1, 2011, van The Florida State University: http://criminology.fsu.edu/p/academiccomputer-criminology.php Fullick, A. (2005). Forensisch onderzoek. (P. van Oudheusden, Vert.) Leidschendam: Biblion. Furnell, S. (2001). The problem of categorising cybercrime and cybercriminals. 2nd Australian Information Warfare (IW) and Security Conference (SC). Perth. Garland, D. (2001). The Culture of Control. Oxford: Oxford University Press. Goethals, J., & Pauwels, L. (2008). Kwantitatieve en Kwalitatieve Criminologische Onderzoeksmethodes: Een introductie. Leuven: Acco. Goossens, F. (1999). Het onrechtmatig verkregen bewijs in strafzaken: begrip en gevolgen. Antwerpen: Kluwer. Grabosky, P. (2007). Electronic crime. Upper Saddle River: Pearson. Guidance Software. (2010, Maart 8). Guidance Software Support Portal Forums. Opgeroepen op Maart 8, 2010, van Support Portal: https://support.guidancesoftware.com/ Guidance Software. (2011, Augustus 8). Training Overview. Opgeroepen op Augustus 8, 2011, van Guidance Software - Encase: http://www.guidancesoftware.com/training.htm Guo, Y., Slay, J., & Beckett, J. (2009). Validation and verification of computer forensic software tools - searching function. Digital Investigation, 6, 12-22. 65
High Tech Crime Centre. (2007). High tech crimes within the EU: old crimes new tools, new crimes new tools. Brussels: Europol. Honeynet Project. (2011, Juli 29). About the Honeynet Project. Opgeroepen op Juli 29, 2011, van The Honeynet Project: http://www.honeynet.org/about Hoogenboom, A. (1986). Privatisering van de politiefunctie. Algemeen Politieblad. Hutsebaut, F. (2010). Hoorcolleges: Private Bewaking en Beveiliging. Leuven: KULeuven. ICRI. (2004, April 6). Wet inzake informaticacriminaliteit. Opgeroepen op November 11, 2010, van Oberservatorium van de Rechten op het Internet: http://www.internetobservatory.be/internet_observatory/pdf/legislation/cmt/law_be_2000-11-28_cmt_nl.pdf I-Force. (2011, Maart 15). Welkom. Opgeroepen op Maart 15, 2011, van I-force.be: http://www.iforce.be/ Institute of Forensic Auditors. (2011, Augustus 8). Activities - Training. Opgeroepen op Augustus 8, 2011, van IFA - Institute of Forensic Auditors: http://www.forensicaudit.be/nl/activities/training-34.html International Organization on Computer Evidence. (2010, Februari 15). IOCE: Principes. Opgeroepen op Februari 15, 2010, van IOCE: Principes: http://ioce.org/core.php?id=5 Kane, J., & Portin, P. (2008). Violence and Technology. Brussel: European Commission, Daphne program. Keustermans, J., & Mols, F. (sd). De wet van 28 november 2000 inzake informaticacriminaliteit: Een eerste overzicht. R.W. 2001-2002, 721-732. KHLeuven. (2011, Juli 14). Studieprogramma Bachelor in toegepaste informatica academiejaar 2011-2012. Opgeroepen op Augustus 8, 2011, van Katholieke Hogeschool Leuven - Programma's: http://www.khleuven.be/studeren-aan-de-khleuven/professionelebachelors/bachelor-in-toegepaste-informatica/studieprogramma Kleve, P. (2004). Juridische iconen in het informatietijdperk. Deventer: Kluwer. 66
KULeuven. (2011, Juli 14). Beveiliging van netwerk- en computerinfrastructuur. Opgeroepen op Augustus 8, 2011, van KULeuven - Onderwijsaanbod: http://onderwijsaanbod.kuleuven.be/syllabi/n/h04g4an.htm Lee, S., Savoldi, A., Soo Lim, K., Hyuk Park, J., & Lee, S. (2009). A proposal for automating investigations in live forensics. Computer Standards & Interfaces, 1-10. Leigland, R., & Krings, A. W. (2004). A formalization of digital forensics. International Journal of Digital Evidence, 13-45. Lin, Y. (2008). Study of computer forensics from a cross-cultural perspective: Australia and Taiwan, Ph. D. Dissertation. Australia: University of South Australia. Litton, R. (1990). Crime and crime prevention for insurance practice. Aldershot: Avebury. Mandia, K., & Prosise, C. (2001). Incident response: Investigating computer crime. Osborne/McGraw-Hill: Berkeley. Marcus Private Investigations. (2011, Maart 15). Marcus Detectives - Private Investigations. Opgeroepen op Maart 15, 2011, van Marcus Detectives - Private Investigations: http://www.m-int.be/ McKemmish, R. (1999). What is forensic computing? Canberra: Australian Institute of Criminology. Mededeling (COM2007, 267 final) van de commissie van het Europees Parlement, de Raad en het Europees Comité van de regio's. (2007, Mei 22). Naar een algemeen beleid voor de bestrijding van cybercriminaliteit. Opgeroepen op Maart 15, 2011, van Naar een algemeen beleid voor de bestrijding van cybercriminaliteit: http://europa.eu/legislation_summaries/justice_freedom_security/fight_against_organised_cr ime/l14560_nl.htm Meyers, M., & Marc, R. (2004). Computer Forensics: The Need for Standardization and Certification. International Journal of Digital Evidence, 2-12. Ministerraad. (2008). Nationaal Veiligheidsplan 2008-2011. Brussel. Mulkers, J., & Haelterman, H. (2001). Privé-detectives : theorie en praktijk van de private opsporing. Antwerpen: Maklu. 67
National Institution of Standards and Technology. (2009, Augustus 24). NIST Computer Forensic Tool Testing Program. Opgeroepen op Maart 8, 2010, van Welcome to the Computer Forensics Tool Testing Project Web Site: http://www.cftt.nist.gov/ Nerinckx, G. (2004). Computercriminaliteit. Brugge: Vanden Broele. Ontrack Data Recovery. (2011, Januari 4). Onderzoek naar digitale bewijzen. Opgeroepen op Maart 15, 2011, van Ontrack Data Recovery: http://nl.ontrackdatarecovery.be/forensics/index.html O'Toole, G. (1978). The private sector, rent-a-cops, private spies and the police-industral complex. New York: Norton. Pacolet, J., Perelman, S., Pestieau, P., Baeyens, K., & De Wispelaere, F. (2009). Zwartwerk in Belgie: Een indicator van omvang en evolutie. Leuven: Acco. Pan, L., & Batten, L. (2009). Robust performance testing for digital forensic tools. Digital Investigation 6, 71-81. Parker, D. B. (1976). Crime by computer. New York: Scribner. Parliamentary Joint Committee on the Australian Crime Commission. (2004). Cybercrime. Canberra: Australian Parliament House. Ponsaers, P. (2002). De plaats van het Lawful Policing Model ten aanzien van Community (Oriented) Policing. In P. Ponsaers, Vernieuwing in de recherche (pp. 11-38). Antwerpen - Apeldoorn: Maklu. Ponsaers, P., & Mulkers, J. (2001). Politionele recherchetechnieken. Een praktijkoverzicht. Antwerpen: Maklu. Reith, M., Carr, C., & Gunsch, G. (2002). An Examination of Digital Forensic Models. International Journal of Digital Evidence, 14-26. Rosenthal, V., & Hoogenboom, A. (1990). Privatisation of Crime Control. In C. o. Europe, Privatisation of Crime control (pp. 1-15). Brussels: Council of Europe. RSE Data Recovery. (2011, Maart 15). Data Forensics. Opgeroepen op Maart 15, 2011, van RSE Data Recovery: http://www.rsedatarecovery.be/forensisch.htm 68
Ryder, K. (2002). Computer Forensics - We've had an incident, who do we get to investigate? Maryland: SANS institute. Saferstein, R. (2006). Criminalistics: An introduction to forensic science. New Jersey: Pearson Prentice Hall. Schaap, C. (2000). Forensische expertise op financieel terrein. Den Haag: Koninklijke Vermande. Schatz, B., & Clarck, A. (2006). An open architecture for digital evidence integration. AusCERT Asia Pacific - Information Technology Security Conference (pp. 15-29). Gold Coast, Australia: AusCERT2006. Shearing, D., & Stenning, P. (1982). Private Security and Private Justice - The challenge of the '80's. Montreal: Institute for research on public police. Siegel, J. A., Saukko, P. J., & Knupfer, G. C. (2000). Encyclopedia of Forensic Sciences. London: Academic Press. Silverman, D. (2010). Doing qualitative research. London: Sage. Solomon, M. G., Barrett, D., & Broom, N. (2005). Computer Forensics - Jump Start. Carlifonia: Sybex. Stellar Data Recovery. (2011, Maart 15). Forensische Data Recovery. Opgeroepen op Maart 15, 2011, van Stellar Data Recovery: http://www.stellardatarecovery.be/forensische-datarecovery.php Taylor, R. W., & Loper, D. K. (2003). Computer Crime. In C. Swanson, N. C. Chamelin, & L. Territo, Criminal investigation (pp. 584-625). Maidenhead: Open university press. Technical Working Group for Electric Crime Scene Investigation. (2001). Electronic Crime Scene Investigation: A Guide for First Responders. Washington, DC: US Department of Justice. The World Bank. (2011, Februari 17). The World Bank. Opgeroepen op Februari 17, 2011, van The World Bank: http://data.worldbank.org/dutch?cid=gpdnl_44 Triforensic. (2011, Maart 15). Investigations Methods. Opgeroepen op Maart 15, 2011, van Triforensic: http://www.triforensic.be/ 69
Turner, P. (2005). Unification of digital evidence from disparate sources (Digital Evidence Bags). Digital Investigation, 223-228. Turner, P. (2006). Selective and intelligent imagine using digital evidence bags. Digital Investigation, s59-s64. Turner, P. (2007). Applying a forensic approach to incident response, network investigation and system administration using Digital Evidence Bags. Digital Investigation, 30-35. Unisys. (sd). What is Holmes. Opgeroepen op Oktober 2010, 18, van Holmes 2: http://www.holmes2.com Van De Bunt, H., & Swaaningen, R. (2005). Privatisering van de veiligheidszorg. In L. Winkel, Privatisering van veiligheid (pp. 5-18). Den Haag: Boom juridische uitgevers. Van De Voorde, W. (2009). Sporenonderzoek. Leuven: Centrum Forensische Geneeskunde, UZ- KULeuven. Van de Voorde, W., Decorte, R., Tytgat, J., & Cuypers, E. (2010). Handboek forensische geneeskunde. Brugge: Die Keure. Van Der Hulst, R., & Neve, R. (2008). High-tech crime, soorten criminaliteit en hun daders. Meppel: Boom. Van Dijk, F., & De Waard, J. (2001). De markt voor private opsporing: vraag en aanbad. Private opsporing, 24-41. Van Laethem, W., Bas, R., & De Corte, T. (1995). Private politiezorg en grondrechten: de methoden van private bewaking en opsporing en de grondrechten van de mens. Leuven: Universitaire pers. Van Outrive, L. (1995). Le travail policier publique et privatisé. In C. Fijnaut, Changes in Society and criminal justice in Europe (pp. 193-211). Antwerpen: Kluwer. van Outryve d'ydewalle, D. (2010). Stageopdracht: Optimalisatie van werkprocessen binnen de RCCU van Leuven. leuven. 70
Vangenechten Recherche. (2009, Januari 14). Privé-detective. Opgeroepen op Maart 15, 2011, van Privé-detective: www.prive-detective.be Vaughan, D. (1983). Controlling unlawful organizational behavior: social structure and corporate misconduct. Chicago: University of Chicago Press. Walter, C. (2005). Kryder's Law. Scientific American, 162-163. Weimann, G. (2005). Cyberterrorism: The sum of all fears? Studies in Conflict and Terrorism, 28(2), 129-150. Westerman, A. (1989). Samenwerking tussen verzekeraars, politie en openbaar ministerie. In C. Fijnaut, & J. Wansink, Verzekering en criminaliteit (pp. 52-72). Arnhem: Gouda Quint. 71
8 BIJLAGEN Bijlage 1 Verklarende woordenlijst Woord Verklaring BIOS Set van routines opgeslagen in een alleen lezen geheugen dat ervoor zorgt dat bij het opstarten van de computer de verschillende geïnstalleerde randapparaten van het systeem worden opgestart en met elkaar in communicatie gebracht worden. Computer systeem Een programma dat na het opstarten van een computer in het geheugen geladen wordt en dat de functionaliteiten aanbiedt om andere programma's uit te voeren. Computervirus Een vorm van schadelijke software. Crackers Iemand die criminele activiteiten met computers uitvoert. Cyberstalking Door middel van het internet of andere elektronische middelen een individu, een groep van individuen of een organisatie stalken of lastigvallen. Digitaal bewijs Informatie die in een binaire vorm werd opgeslaan of verzonden en bruikbaar is in een rechtszaak. DOS-aanvallen Situatie waarin een computersysteem niet in staat is te functioneren. Encryptie Elke procedure die gebruikt worden in een cryptografie om tekst om te zetten in een door een andere gebruiker niet leesbare vorm. Gecomprimeerde bestanden Een bestand die in grootte werd gereduceerd aan de hand van een compressie algoritme. Door het comprimeren van het bestand wordt het bestand onleesbaar voor meeste programma s totdat het bestand werd geoncomprimeerd. Hackers Iemand die inbreekt in computersystemen. Hardware Alle fysieke componenten die in een computer een rol spelen (vb.: harde schijf, geluidskaart, etc.). Image Een computerbestand waarin een exacte kopie van een digitale gegevensdrager is opgeslagen. Malware Een verzamelnaam voor kwaadaardige en/of schadelijke software. 72
Woord Netwerk Paswoord beveiligde bestanden Phishing Piraterij Randapparaten Router Server Slack space Software Spam Spyware Verklaring Een groep van computer die met elkaar verbonden is om informatie en hulpmiddelen met elkaar delen. Vele softwareprogramma s kunnen ervoor zorgen dat bestanden beveiligd worden aan de hand van een paswoord. Een vorm van internetfraude. Het bestaat uit het oplichten van mensen door ze te lokken naar een valse website, die een kopie is van de echte website en de mensen daar te laten inloggen met hun persoonlijke inlognaam en wachtwoord of hun creditcardnummer. Hierdoor krijgt de fraudeur de beschikking over deze gegevens met alle gevolgen van dien. Een werk van literatuur, wetenschap of kunst publiceren of vermenigvuldigen zonder de uitdrukkelijke toestemming van de auteur (of de houder van het auteursrecht). Apparaten die geïnstalleerd werden op de computer zoals diskette-ingang, toetsenbord, beeldscherm, printer, NIC, etc. Een apparaat dat twee of meer verschillende (computer)netwerken aan elkaar verbindt. Een computer dat diensten voorziet voor andere computers verbonden met het netwerk. Een term die gebruikt wordt bij opslagmedia om verloren ruimte aan te duiden. Computerprogramma's, bibliotheken en bijbehorende data die niet aanwezig zijn bij het starten van een computer maar achteraf worden geladen (vb.: Microsoft Office Word, Windows Media Player, etc.). Spam is een verzamelnaam voor ongewenste berichten. Meestal wordt met de term ongewenste e-mail bedoeld, maar ook ongewenste reclameboodschappen op websites vallen onder spam. Verzamelnaam voor computerprogramma's (of delen daarvan) die informatie vergaren over een computergebruiker en deze doorsturen naar een externe partij. 73
Woord Steganografie Switches Temporary bestanden Trojaans paard Unix USB Verborgen gegevens Verwijderbare gegevensdragers Verwijderde bestanden Windows Wormen Verklaring De kunst en wetenschap van communicatie die ervoor zorgt dat bestaande communnicatie wordt verborgen. Een bestand wordt zo in een andere bestand geplaatst. Switches werken op dezelfde manier als hubs, maar kunnen wel bepalen waar de ontvangen informatie heen moet en verzenden deze alleen naar de computers waarvoor de informatie bedoeld is. Switches kunnen informatie tegelijkertijd verzenden en ontvangen, en zijn dus sneller dan hubs. Softwareprogramma s kunnen bepaalde informatie tijdelijk opslaan om het later te kunnen gebruiken. Een programma dat andere dingen doet dan ze voorgeven (vb.: de computer gemakkelijker toegankelijk maken voor andere virussen). Verzamelnaam van computer systemen ontwikkeld door verschillende fabrikanten. Een externe randapparaat kan via USB gekoppeld worden aan de computer. Computersystemen bevatten een functie die ervoor kunnen zorgen dat beveiligde informatie kunnen verborgen worden voor andere gebruikers. Gegevensdragers (vb.: floppy disk, CD, DVD, etc.) dat gegevens kunnen opslaan en gemakkelijk van de computer kunnen losgekoppeld worden. Een bestand die verwijderd werd door een gebruiker, worden enkel in een register verwijderd en maar zijn nog fysisch aanwezig. De naam van het computer systeem van Microsoft. Een zelfstandige programma die zich direct over het netwerk verspreiden en schade veroorzaakt. 74
Bijlage 2 Forensische onderzoekstechnieken per criminaliteitsvorm Sex crimes Crimes against persons Fraud/Other financial crimes General information: Databases Child exploitation/abuse Prostitution Death investigation Domestic violence E-mail threats/ harassment/stalking Auction fraud Computer intrusion Economic fraud Extortion Gambling Identity theft Narcotics Software piracy Telecommunications fraud E-mail/notes/letters Financial/asset records Medical records Telephone records Specific information: Account data Accounting/bookkeeping software Address books Backdrops Biographies Birth certificates Calendar Chat logs Check, currency, and money order images Check cashing cards Cloning software Configuration files Counterfeit money Credit card generators Credit card numbers Credit card/writer Credit card skimmers Customer database/records Customer information/credit card data Specific information: 75
Sex crimes Crimes against persons Fraud/Other financial crimes Date and time stamps Child exploitation/abuse Prostitution Death investigation Domestic violence E-mail threats/ harassment/stalking Auction fraud Computer intrusion Economic fraud Extortion Gambling Identity theft Narcotics Software piracy Telecommunications fraud Diaries Digital cameras/software/images Driver s license Drug recipes Electronic money Electronic signatures Erased internet documents ESN/MIN pair records Executable programs False financial transaction forms False identification Fictitious court documents Fictitious gift certificates Fictitious loan documents Fictitious sales receipts Fictitious vehicle registrations Games Graphic editing and viewing software History log how to phreak manuals Images Images of signatures Image files of software certificates Image players Internet activity logs Internet browser history/cache files IP address and user name Specific information: 76
Sex crimes Crimes against persons Fraud/Other financial crimes IRC chat logs Child exploitation/abuse Prostitution Death investigation Domestic violence E-mail threats/ harassment/stalking Auction fraud Computer intrusion Economic fraud Extortion Gambling Identity theft Narcotics Software piracy Telecommunications fraud Legal documents and wills Movie files Online financial institution access software Online orders and trading information Prescription form images Records/documents testimonials Scanners/scanned signatures of Serial numbers Social security cards Software cracking information and utilities Source code Sports betting statistics Stock transfer documents System files and file slack Temporary internet files User names User created directory and file names that classify copyrighted software User created directory and file names that classify images Verhicle insurance and transfer documentation Victim background research Web activity at forgery sites Web page advertising 77