Hoe vindt u goede forensische experts?

Wie het slachtoffer is van een cyberaanval heeft in veel gevallen de hulp nodig van digitaal forensische experts. Als straks het melden van datalekken verplicht wordt, is dat in veel gevallen zelfs verplicht. Een kwaliteitslabel bestaat niet voor dergelijke experts. Hoe selecteer je dan toch een goed digitaal forensisch bureau?

Digitaal forensisch experts zijn er in alle soorten en maten en kwalitatieve gradaties. Daarom moet een organisatie allereerst goed weten waarvoor het een digitaal forensisch bureau voor nodig heeft, zegt Sjaak Schouteren, manager business development bij verzekeraar AON. “Is er een schijf gecrasht, dan is het beter een bureau te zoeken dat gespecialiseerd is in datarecovery. Maar is de website gekaapt, dan moeten er heel ander type forensische expert komen.”

AON biedt cybersecurity-verzekeringen aan. Als een verzekerde een aanval te verduren heeft gehad, zorgt AON ervoor dat de juiste instanties worden ingeschakeld, waaronder een digitaal forensisch onderzoeksbureau. Schouteren ziet nu heel veel nieuwe partijen op de markt komen. “Begrijpelijk, want het is een nieuwe business waar veel groei in zit.” Omdat er geen kwaliteitslabel is waar organisaties zich op kunnen verlaten bij de keuze voor een forensisch bureau, bieden de ervaringen van verzekeraars als AON broodnodige handvatten. Waar kijkt AON naar bij de selectie van zulke bureaus? Schouteren: “Let op of forensisch onderzoek hun core business is. Er zijn de laatste jaren redelijk wat partijen in de markt gezet die dit erbij doen. Dat hoeft niet per se een probleem te zijn, maar verdiep je wel in hun trackrecord. En, doen ze het onderzoek zelf of besteden ze het uit? In dat laatst geval is het beter zelf contact op te nemen met die partij aan wie zij het onderzoek uitbesteden. Waarom hen er tussen laten zitten?”

Al is er dan geen kwaliteitslabel, enkele officiële stempels zijn wel verplicht. Zo moet elk forensisch bureau in elk geval het keurmerk Particulier Onderzoeksbureau (POB) van het ministerie van Veiligheid en Justitie hebben. Elk bureau krijgt een eigen POB-nummer dat gecontroleerd kan worden bij het ministerie, maar ook bij de afdeling bijzondere wetten van de politie. De onderzoekers zelf moeten bovendien een screening door de politie hebben ondergaan: het zogeheten ­Betrouwbaarheidsonderzoek. Dat legt zwaardere criteria aan dan de voorwaarden die gelden voor een Verklaring Omtrent Gedrag.

 

Deskundigheid

DearBytes helpt (met name) zorgorganisaties in de strijd tegen cybercriminaliteit. Het zorgt er onder meer voor dat deze organisaties na een incident of aanval weer aan de slag kunnen. Voor het forensisch onderzoek werkt DearBytes samen met gespecialiseerde digitaal forensische onderzoeksbureaus. DearBytes let bij de selectie op de diverse technische certificaten en vergunningen. Erik Remmerzwaal, CEO van DearBytes: “Het probleem is dat er zoveel certificaten en toetsen zijn. Daarom kijken we ook of de onderzoekers een gezonde dosis praktijkervaring hebben, van zeker vijf tot tien jaar.”

Verzekeraar Hiscox, dat net als AON cybersecurity-verzekeringen aanbiedt, tracht de deskundigheid te beoordelen aan de hand van cases van eerdere opdrachten. “We kijken naar tevredenheidsonderzoeken onder andere klanten en naar welke opdrachtgevers ze hadden en hebben”, zegt Yasin Chalabi, Manager Professional Insurance & Data Risks bij Hiscox. Hij ziet het als een pre als een bureau hackers in dienst heeft. “Zij weten hoe hackers denken, en begrijpen daardoor beter hoe die te werk zijn gegaan.”

 

Met de komst van de meldplicht datalekken wordt ook juridische kennis binnen het bureau van belang. Chalabi: “Als het bureau nagaat wat de oorzaak van een lek of hack is, moet het aan kunnen geven wie de slachtoffers zijn, geredeneerd vanuit de wettelijke regels. Het gaat niet alleen om de schade die het bedrijf zelf lijdt. Het moet ook de eisen van de privacywetgeving en meldplichten erbij kunnen betrekken. Die wetten komen er nu snel aan.” Remmelzaal valt hem bij: “Een forensisch bureau moet bij een incident informatie zo vast kunnen leggen dat die standhoudt in de rechtszaak.”

Daarnaast is voor Hiscox van groot belang welke middelen een bureau tot zijn beschikking heeft. Heeft het bijvoorbeeld gespecialiseerde apparatuur waarmee de gehackte systemen uitgelezen kunnen worden, zodat heel snel achterhaald kan worden wat er gebeurd is? Chalabi: “Daarmee is vaak al binnen een dag een rapport gereed. Dat is wel wat anders dan een team van vijf man dat twee weken nodig heeft om uit te zoeken wat er is gebeurd. Nog afgezien van de kosten, met de uitbreiding van de meldplicht moet binnen 72 uur melding gemaakt worden van een incident.”

 

Omvang

Er zijn maar enkele grote digitaal forensische bureaus in Nederland. Is het wel verstandig in zee te gaan met een kleintje? Een bureau moet in elk geval snel kunnen opschalen, vindt Schouteren. “Als je merkt dat je gehackt bent, is vaak niet direct duidelijk hoe groot de hack is. Digitaal forensische experts zien wel of het een klein incident is of juist iets groots waar onmiddellijk heel veel onderzoekers voor beschikbaar moeten zijn.” Voor Chalabi van Hiscox is de omvang zeker niet het voornaamste. “Een team kan klein zijn, maar wel snel en deskundig. Dat vinden we belangrijker.” Een goede bereikbaarheid en een ‘24x7-metaliteit’ is ook van belang. “Niet dat je op zondagavond belt en dan tot maandagochtend moet wachten voor ze aan het werk gaan.”

Remmelzwaal van DearBytes valt hem daarin bij. “Als ik maar zeker weet dat ze snel kunnen inspringen bij een incident. Gaat het om zaken die alleen Nederland betreffen, en in de zorg is dat meestal ook zo, dan volstaat een kleiner bureau, een team van twee experts is meestal wel genoeg. Het aantal benodigde specialisten dat wij aan het team toevoegen voor de werkzaamheden buiten forensisch werk verschilt sterk per situatie. Is het incident grensoverschrijdend, dan is het wel van belang dat het forensisch bureau groot is.” Schouteren van AON wijst er ook op dat een internationaal netwerk van belang kan zijn. “Aangezien data noch daders van cybercrime zich aan grenzen houden, moet goed ingeschat worden of het bureau ook een internationaal netwerk heeft.”

Fox-IT is een grote speler in de markt voor digitaal forensische bureaus.“Een groot deel van onze klanten is al langer vaste klant. Bij nieuwe klanten speelt vaak mee dat we regelmatig in de media verschijnen”, zegt Kevin Jonkers, manager forensic services bij Fox-IT. De klanten vragen maar zelden van tevoren naar eerdere rapporten van Fox-IT om in te zien hoe het bedrijf te werk gaat. “Zij hebben vertrouwen in onze reputatie. Dit zal deels ook komen door de druk die meestal op hen staat als ze ons nodig hebben. Wel merk ik dat bedrijven zoeken naar een vaste partner voor hun forensische onderzoeken. Tot vorig jaar gebeurde dat veel meer ad hoc. Onze klanten willen de samenwerking ook vaker formaliseren met SLA’s waarin bijvoorbeeld staat hoe snel wij moeten reageren. Dan willen wij weer vastleggen welke gegevens een IT-partij bij ons moet aanbieden om tot een oplossing te komen.” Wat vindt hij essentieel voor een goed digitaal forensisch bureau? “Ik vind het belangrijk in deze branche onderzoeken objectief uit te kunnen voeren. Een klant moet het bureau niet kunnen voorschrijven wat de conclusies moeten zijn omdat dat hem beter uitkomt. Dat maken we wel een enkele keer mee, maar een goed bureau zegt daar nee tegen.”

Jonkers wijst er daarnaast op dat een goede ‘klik’ met de mensen die bij het bureau werken van belang is. “Partijen komen nogal eens in vervelende en complexe situaties terecht waarin ze met elkaar moet kunnen lezen en schrijven.” Remmelzwaal benadrukt dat de persoonlijkheid van de experts belangrijk is. “Er is meestal sprake van een incident of crisis. De persoon die je inhuurt om de crisis onder controle te krijgen moet wel de autoriteit uitstralen en iedereen aan het werk kunnen zetten. En dat gaat verder dan het veilig stellen van harde schijven. Er moet een goede crisiscoördinator zijn.”

 

Wat kost het?

Afhankelijk van de soort hack, kost forensisch onderzoek gemiddeld 4000 euro per dag, schat Chalabi. “Dat betekent dat je in totaal 30.000 tot 50.000 euro kwijt kunt zijn.” Remmelzwaal: “De klant heeft daar wel enige keuze in. Uurlonen variëren van 150 tot 250 per uur, maar daar kunnen nog toeslagen bij komen. Meestal is bij een incident sprake van spoed en crisis, waarvoor vaak een hoge prijs komt te staan.”

Remmelzwaal heeft een tip die kostenbesparend kan werken. “In de branche van forensische bureaus is het wel zo dat er stille tijden kunnen zijn. Als er geen incidenten zijn, hebben ze natuurlijk weinig te doen. Dan bieden ze diensten aan om je als organisatie forensisch voor te bereiden: zogeheten forensische readiness assesments. Daarmee zorg je wel dat als het nodig is het forensisch onderzoek sneller kan verlopen. Dat levert je geld op, al was het maar omdat de doorlooptijd van het incident korter wordt.”

Bureaus

Zoals vermeld zijn er digitaal forensische bureaus in vele soorten en maten. Hieronder vindt u een overzicht met enkele bureaus. Hoe goed ze zijn, heeft AutomatiseringGids niet gemeten.

 

Digital Investigation

Bestrijkt totale veld van digitaal forensisch ­onderzoek. Vijf digitaal forensische onderzoekers, met ­back-up van drie pentesters en diverse partners. Gecertificeerd als getuige-deskundige in civiele en strafzaken. digital-investigation.eu

 

Digitale Opsporing

Gespecialiseerd in het uitlezen van mobiele telefonie, bronnen- en fraudeonderzoek op internet. Vier digitaal forensisch onderzoekers. digitaleopsporing.nl

 

Fox-IT

Fox-IT heeft 15 digitaal forensisch onderzoekers. Specialisaties onder meer: forensics op het gebied van netwerken, mobiele apparatuur en ­computers en eDiscovery. Gecertificeerd als gerechtelijk deskundige in ­civiele en strafzaken. fox-it.com

 

Hoffmann Bedrijfsrecherche

Forensisch ICT-onderzoek is een aparte afdeling van Hoffmann. Hier doen twintig medewerkers ­digitaal forensisch onderzoek. Onderzoek wordt gedaan aan vrijwel alle digitale apparaten, logbestanden en netwerken. Daarnaast heeft Hoffmann nog zestig medewerkers, met onder meer tactisch rechercheurs, een ­observatieteam en financieel specialisten die ­gezamenlijk onderzoek kunnen doen. hoffmannbv.nl

 

Mandiant

Mandiant is een onderdeel van beveiliger FireEye. In Nederland zijn nu drie onderzoekers in dienst, maar wereldwijd heeft Mandiant de beschikking over rond de 350 forensisch experts. Gespecialiseerd in vooral grootschalige incidenten zoals industriële spionage en aanvallen en spionage die van andere landen uitgaan. Laat zijn MIR-platform met threat intelligence-component automatisch zeer grote netwerken analyseren en bevragen. De experts graven vervolgens zo nodig verder. mandiant.com

 

Madison Gurkha

Heeft geen eigen forensisch onderzoekers in dienst maar werkt hiervoor samen met Digital ­Investigation. madison-gurkha.com

 

Northwave

Northwave heeft acht digitaal forensisch onderzoekers in huis. Het biedt diensten over de hele breedte op het gebied van informatiebeveiliging. Daarvoor kan een abonnement worden afgesloten voor het detecteren van incidenten en de ­benodigde respons daarop. northwave.nl

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag