“de wereld van de techniek” IT Forensics en de Advocatuur

Agenda Kort voorstelrondje / doel van vandaag Wat verstaan we onder Forensic IT / E-Discovery Hoe kan het dat we verwijderde gegevens terug kunnen halen Praktijkvoorbeelden Forensic Readiness Do’s en Dont’s Wat verder ter tafel komt

kort voorstelrondje Doel van vandaag: Inzicht in de wonderenwereld van Forensische accountancy en IT/E- Discovery en de toepasbaarheid binnen uw vakgebied Office Rotterdam Tel: +31 (0) Peter Schimmel Dispute Resolution Forensic accounting/Investigations Cell: +31(0) Mark Hoekstra Forensic IT Forensic Investigations Cell: +31(0)

Verschillende juridische werkwijzen U wilt weten wat waar is en huurt in onder verschoning (beheersing) Uw cliënt is van zijn onschuld overtuigd en huurt in (beperkte beheersing) Een onafhankelijk onderzoek is vereist, één of beide partijen huren in U bent benoemd als curator en kunt inhuren als partijdeskundige binnen uw eigen dossier of u huurt in met als doel een onafhankelijk/onpartijdig onderzoek. Een vals beschuldigde cliënt?

Agenda Kort voorstelrondje / doel van vandaag Wat verstaan we onder Forensic IT / E-Discovery Hoe kan het dat we verwijderde gegevens terug kunnen halen Praktijkvoorbeelden Forensic Readiness Do’s en Dont’s Wat verder ter tafel komt

Te ingewikkeld?

Forensisch IT Onderzoek / E-Discovery:  Forensisch verantwoord Chain of evidence Belastend en ontlastend Methoden en technieken  Houd stand voor de rechtbank Rapportage Authenticiteit (waarde) van de informatie  Efficiënt en Effectief Analoog al dan niet in combinatie met digitaal Inzet zoek-, taal- en analyse technologie Toegevoegde kennis naast specifieke aangetroffen informatie

Agenda Kort voorstelrondje / doel van vandaag Wat verstaan we onder Forensic IT / E-Discovery Hoe kan het dat we verwijderde gegevens terug kunnen halen Praktijkvoorbeelden Forensic Readiness Do’s en Dont’s Wat verder ter tafel komt

- gegevens LAPTOP ingelezen. - gegevens SERVER ingelezen. - opslagmedia gelocked. start analyse. opslagmedia zijn ingelezen op De onderzoeksmachine en kunnen losgekoppeld worden. Forensic IT analyse Terughalen verwijderde gegevens - gegevens DESKTOP ingelezen. -

IT Forensics Technisch Forensisch Onderzoek Leesbare bestanden. De inhoud van een schijf valt in drie categorieën uiteen: 1. De normaal leesbare bestanden; 2. De lokaliseerbare verwijderde bestanden; 3. De slack space van de schijf. Lokaliseerbare bestanden.Slack Space. De normaal leesbare bestanden kunnen met het besturingssysteem (windows) ingelezen worden. Deze bestanden staan aangemerkt met een begin en een einde en de ruimte waar de bestanden zich op de harddisk bevinden kan niet overschreven worden. De lokaliseerbare verwijderde bestanden zijn bestanden die verwijderd zijn, maar waarvan nog wel het startpunt en het eindpunt te herleiden zijn. De ruimte waarop deze bestanden staan is overschrijfbaar. Het bestand kan herleid worden door de gegevens tussen het start en eindpunt op te vragen en opnieuw weg te schrijven naar een andere schijf. De slack space van de schijf bestaat uit verwijderde bestanden waarvan het begin en eindpunt niet meer te herleiden zijn. De kans is groot dat ook de plek op de schijf al overschreven is met nieuwe data. Mocht dit niet het geval zijn dan is de inhoud van het bestand zichtbaar in rauwe vorm. Received: from deepthought (deepthought.office.it-forensic.nl [ ]) by gateway.office.it-forensic.nl (Postfix) with SMTP id C202E33 for ; Wed, 18 Oct :54: (CEST) From: “Kram Hanzemans" To: Subject: Meer harddisk ruimte. Date: Wed, 18 Oct :54: Message-ID: MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----=_NextPart_000_0000_01C B75000" X-Priority: 3 (Normal) X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook IMO, Build ( ) Importance: Normal X-MS-TNEF-Correlator: X-MimeOLE: Produced By Microsoft MimeOLE V Status: R X-Status: N Best BOFH, Eindelijk heb ik dan de ruimte gevonden zodat we de grote hoeveelheid 'data’ die we uit moeten wisselen dan ook daadwerkelijk uit kunnen gaan wisselen. Ikzelf voel me niet zo op mijn gemak, volgens mij hebben een aantal mensen wat door! Groeten, Kram Hanzemans. PS. Deze mail verwijder ik direct als ik hem verstuurd heb, doe jij dat ook !

forensische accountancy & IT onderzoek in historisch perspectief

Dispute resolutions Complexe procesvoering?

Agenda Kort voorstelrondje / doel van vandaag Wat verstaan we onder Forensic IT / E-Discovery Hoe kan het dat we verwijderde gegevens terug kunnen halen Praktijkvoorbeelden Forensic Readiness Do’s en Dont’s Wat verder ter tafel komt

Praktijkvoorbeelden (1) Casus : Medewerker gaat (kort voor faillissement) naar de concurrent en neemt bedrijfskritische gegevens mee. - Kostprijs gegevens - Relatiebestanden - Groeistrategie - Nieuwste R&D resultaten Onderzoeksstrategie Doel: Vermoeden bevestigen/ontkrachten, gebruik/misbruik ontmoedigen, claim schade. - Webmail resten geven opzet planning weer + verzenden gegevens - Sporen kopiëren naar externe HD, later bevestiging HD medewerker - Verwijderde zakelijke mail, nota aanschaf webvault - SMS blackberry verzoek nieuwe werkgever vast bellen met … - Interview opdrachtgever (laatste moment anders gegunde opdr.) - Bewijsbeslag - Mail inzicht andere contracten die langs deze weg zijn “weggekaapt”

Praktijkvoorbeelden (2) Casus : Betwisten ontvangst instructie via mail Partij A heeft niet uitgevoerd wat partij B heeft geïnstrueerd Partij A geeft aan de instructie via mail niet te hebben ontvangen Partij B heeft een verzendbevestiging Partij B claimt schade bij partij A Partij A zet advocaat in omdat zij oprecht het bericht niet denkt te hebben ontvangen en weigert te schikken Onderzoeksstrategie Doel: Objectieve technische onderbouwing van het al dan niet verzenden en ontvangen Mail partij A via een hosting/virusbescherming partij (partij C) Kwaliteit verzendbevestiging, authenticiteit en juridische waarde Onderzoek spam verslagen Partij C

Praktijkvoorbeelden (3) Casus : Vonnis ter beschikking stellen correspondentie de advocaat heeft namens cliënt een vonnis tot overdracht van correspondentie verkregen door gedaagde gedaagde wil verstrekken maar dit maakt deel uit van mailwisselling die zou vallen onder legal privilige & prive correspondentie advocaat wil zekerhuid over juistheid en volledigheid gedaagde wil garanties ten aanzien van bescherming van rechten Ondersteuningsstrategie Doel: Uitvoering van het vonnis, volledige ter beschikking stelling van relevante correspondentie, medewerking van gedaagde en bescherming van rechten van gedaagde. diverse gegevens dragers veiliggesteld en geïndexeerd diverse beoordelingsslagen op basis van zoektermen e.d. verstrekking van door beide partijen “goedgekeurde” gegevens aan beide partijen en bemiddeling bij de “discussie stukken”

Binnen het doel van de opdracht / de ten einde vraag ! 1.Selecteren van mogelijk relevante (digitale) gegevensverzamelingen 2.Veiligstellen van mogelijk relevante (digitale) gegevensverzamelingen 3.Samenstellen van de onderzoeksset (meestal wordt meer veilig gesteld dan daadwerkelijk onderzocht) 4.Analyseren van het administratieve proces 5.Selecteren en evt ontwikkelen van de IT-hulpmiddelen 6.Analyseren van (digitale) gegevensverzamelingen –elektronische transacties –communicatie gegevens –overige gegevens 7.Rapporteren van uitgevoerde werkzaamheden en bevindingen. –in begrijpelijke taal –verantwoording van de “chain of evidence”

Agenda Kort voorstelrondje / doel van vandaag Wat verstaan we onder Forensic IT / E-Discovery Hoe kan het dat we verwijderde gegevens terug kunnen halen Praktijkvoorbeelden Forensic Readiness Do’s en Dont’s Wat verder ter tafel komt

Forensic Readiness Voor cliënten maar ook voor het advocatenkantoor zelf Mocht er een misstand binnen onze organisatie plaatsvinden of een procedure tegen onze organisatie aanhangig worden gemaakt; Heb ik dan de juiste gegevens ter beschikking om: Te kunnen herleiden wat er is gebeurd, soms tot in detail (dossiers op orde, scheiding privé/juridisch relevant) Efficiënt onderzoek te kunnen verrichten (snel en beheersbaar in tijd/kosten) Effectief onderzoek uit te voeren (Een zo groot mogelijke kans op succesvol onderzoek) Mag je de gegevens gebruiken (reglement, legal privilege, privacy) Veelal kan met beperkte middelen de “forensic readiness” aanzienlijk vergroot worden

Agenda Kort voorstelrondje / doel van vandaag Wat verstaan we onder Forensic IT / E-Discovery Hoe kan het dat we verwijderde gegevens terug kunnen halen Praktijkvoorbeelden Forensic Readiness Do’s en Dont’s Wat verder ter tafel komt

Do’s en Dont’s Bevriezen laptops, desktops, servers, pda, memory sticks, telefoon, back-up tapes, shredders verwijderen etc. Images maken Deskundig, juiste tools, chain of evidence, zo beperkt mogelijke gevolgen voor bedrijfsprocessen. Bellen Mark Hoekstra Peter Schimmel Systeembeheerders Alvast even kijken, kopieën maken, wat mailtjes printen, back- up’s maken, rechten geven aan curatoren team etc. Wachten Bevries eerst, ook indien er geen aanleiding is “misstanden” te verwachten. Je zult er veel voordeel van ervaren Niet Bellen

Agenda Kort voorstelrondje / doel van vandaag Wat verstaan we onder Forensic IT / E-Discovery Hoe kan het dat we verwijderde gegevens terug kunnen halen Praktijkvoorbeelden Forensic Readiness Do’s en Dont’s Wat verder ter tafel komt