Download   Report
  1. No category

Om datagjenfinning og bevissikring

Elektroniske Spor
Datagjenfinning og bevissikring i etterkant av hendelser
knyttet til mistanke om lekkasjer
Bjørn Krok
Avdelingsleder - Computer Forensics Nordics
Om Ibas – Kroll Ontrack
•
•
•
•
•
Stiftet i 1978
Datarekonstruksjon fra 1982
Data sletting fra 1992
Data Etterforskning fra 2001
Oppkjøpt av Kroll Ontrack i 2006
Europe
Lokasjoner
Discovery Processing
 United Kingdom
 Germany (2014)
 France (2014)
Software Development
 Poland
Data Recovery Sales/Services/Labs
 All others
North America
Discovery Processing
 Minneapolis, Minnesota
Asia Pacific
Data Recovery Lab/Cleanroom
 Minneapolis, Minnesota
 Secaucus, New Jersey
 Toronto, Canada
Discovery Sales and Service
 Minneapolis, Minnesota
 New York, New York
 Washington, DC
 Los Angeles, California
Discovery Processing
 Tokyo, Japan
Data Recovery Lab/Cleanroom
 Hong Kong
 Singapore
 Australia
Om Meg
• Avdelingsleder – Kroll Ontrack Legal Technologies
• Arbeidet med Computer Forensics i 10 år
• Erfaring fra IT drift, konsulent og prosjektleder
innenfor data sikkerhet og drift (bl.a. Telenor)
• Erfaring som Sikkerhetssjef
Hva er Computer Forensics?
• ”Detektivarbeide i et elektronisk miljø”
• Innsamling – Analyse – Dokumentasjon
av digitale informasjon og spor som benyttes som
bevis
Når er elektroniske spor aktuelt?
•
•
•
•
•
•
•
•
•
Ansatte som starter konkurrerende virksomhet
Patentrettigheter
Økonomiske misligheter
Korrupsjon
Validere ekthet av e-dok, f.eks. kontrakter, e-post
Virksomhetsgjennomgang
Cyber Attack, datainnbrudd, hacking
Straffesaker
Internrevisjon
Hvorfor elektroniske spor?
• Kan bekrefte konkrete mistanker om et bestemt
hendelsesforløp
• Metadata kan gi svar på
• Hvem
• Når
• Hva
Symantec undersøkelse*
• 70% of former employees surveyed in the U.S.,
U.K., France, Brazil, China, and Korea, who had
recently left their jobs, would consider taking
confidential data with them.
• 62% saw nothing wrong in this practice.
*Gordon Dadds
Tyveri av IP
• Tidligere ansatt(e) starter konkurrerende virksomhet
• Analyse av PC kan dokumentere hva vedkommende
kan ha kopiert med av konfidensiell informasjon
• Kopiering til andre lagringsmedier
• Utsendelse av dokumenter med bedriftens epostsystem
• Utsendelse av dokumenter med Web-mail eller
andre kommunikasjonsplattformer
Bevisopptak utenfor rettssak
• Analyse av tidligere arbeidstakers PC kan benyttes til
fremme krav om bevisopptak
• Gjennomføres av Namsmannen m/medhjelper
• Konsekvenser for saksøker
• Kostnader
• Erstatningsplikt
• Konsekvenser for saksøkte
• Kostnader
• Driftsavbrudd
• Beslag av all informasjon, også privat informasjon
• Sikret informasjon deponeres hos Namsmannen
• Ressurser til gjennomgang av sikret informasjon
Dawn Raids
• Mock Dawn Raids (Øvelse)
• Bistand til selskaper som raides eller kreves utlevert
av myndigheter
• Eksempel:
• Informasjon fra en 10-årsperiode
• 10 millioner dokumenter
• 42 millioner sider
Eksempler på saker
Bevis-/Datasikring
•
•
•
•
•
•
•
Speilkopiering
Sikring av aktive data
Personlig utstyr
E-post
Server, Kontoer, Meldinger
Outsourcing/Sky-tjenester
Backup - Frys
Datarekonstruksjon
• Defekte lagringsmedier
• «Slettet» informasjon
Analyse av PC kan gi svar på
•
•
•
•
•
•
Generell brukeraktivitet
Hvilke filer/dokumenter har vært aksessert
Kommunikasjon, e-postmeldinger og vedlegg
Massiv filkopiering
Bruk av USB minne for evt. kopiering
Slettet informassjon
USB Lagringsenheter
Type
Product
Serial_Number
Last Written
First Written
CD Rom
HUAWEI Mass Storage USB Device
7&1a9ec38d&0
22.05.2013 00:43
15.05.2013 08:41
CD Rom
HUAWEI Mass Storage USB Device
7&26feb25d&0
22.05.2013 07:19
15.05.2013 08:41
CD Rom
HUAWEI Mass Storage USB Device
8&14dd8410&0
16.04.2013 13:31
15.05.2013 08:41
CD Rom
Verbatim Secure Data USB USB Device
070007B10F0137FC0082&1
18.04.2013 14:07
18.04.2013 14:07
Disk
General USB Flash Disk USB Device
000000000003FD&0
04.12.2012 20:57
04.12.2012 19:52
Disk
Generic- Multi-Card USB Device
20071114173400000&0
25.04.2013 15:12
25.04.2013 15:12
Disk
Kingston DataTraveler 2.0 USB Device
5B8B0B000288&0
20.12.2012 10:01
04.12.2012 15:24
Disk
SanDisk Cruzer Blade USB Device
200535501218A2F02EA3&0
20.12.2012 10:24
20.12.2012 10:12
Disk
SanDisk Cruzer Blade USB Device
NA0FTC7J&0
26.05.2013 20:18
25.03.2013 08:55
Disk
Seagate USB 3.0 Cable USB Device
NA0FTC7J&0
18.05.2013 13:37
18.05.2013 13:37
Disk
Verbatim Secure Data USB USB Device
070007B10F0137FC0082&0
18.04.2013 14:07
18.04.2013 14:07
Kopiering av data til USB minne
Last Visited
User
URL
16.05.2013 23:28 <username> file:///D:/AA/Standard/2013/Binder 1.zip
16.05.2013 23:29 <username> http://www.company.int/articles/standard-all-routines-1/Binder 1.0.zip
16.05.2013 23:29 <username> file:///D:/AA/standard/2013/Binder 3.zip
16.05.2013 23:30 <username> http://www.company.int/articles/standard-all-routines-1/Binder 3.zip
16.05.2013 23:30 <username> file:///D:/AA/standard/2013/Binder 4.zip
16.05.2013 23:32 <username> http://www.company.int/articles/standard-all-routines-1/Binder 4.zip
16.05.2013 23:32 <username> file:///D:/AA/standard/2013/Binder 5.zip
16.05.2013 23:33 <username> http://www.company.int/articles/standard-all-routines-1/Binder 5.zip
16.05.2013 23:33 <username> http://www.company.int/nordic/subsidiary-dk/operations/standards/personal
16.05.2013 23:34 <username> http://www.company.int/nordic/subsidiary-dk/operations/standards/personal/view?&table-batchSize:int=30&table-batchStart:int=30
16.05.2013 23:34 <username> http://www.company.int/nordic/subsidiary-dk/operations/standards/personal/view?&table-batchSize:int=30&table-batchStart:int=60
16.05.2013 23:35 <username> http://www.company.int/articles/personalehandbog-2013/Personalehandbog - DK 2013.pdf?searchterm=personalehånd
16.05.2013 23:36 <username> file:///D:/AA/Butikstandard/2013/Personalehandbog - DK 2013.pdf
16.05.2013 23:39 <username> http://www.company.int/articles/oppdaterte-telefonlister-og-adresselister/danmark?searchterm=manager
16.05.2013 23:39 <username> http://www.company.int/nordic/subsidiary-dk/operations/standards/bindemiddel-4-brugervejledningar
16.05.2013 23:40 <username> http://www.company.int/articles/emerchandising-manual
16.05.2013 23:41 <username> file:///D:/AA/standard/2013/Mappe 6 - ecom/eMerchandising Manual.pptx
16.05.2013 23:41 <username> http://www.company.int/articles/emerchandising-manual/eMerchandising Manual.pptx
Rapportering
Ontrack Inview - Innsyn
Load files for other review
applications
Collection
Searchable PDF files
Data Processing
Email PST files
Filtering and/or
Early Case Assessment
Native Document Production
(PD31B(33))
Data Upload to
Review Tool
Ontrack Inview
List of documents usually
in excel
OCR Redacted documents
Document Review
Production
Bates numbering/
Pagination
Special format productions
Analyse
Review
• Elektronisk informasjon er ofte veldig omfattende i
mengde
• Systematisering og identifisering av relevant
informasjon
• Avklare hvem og hvordan informasjon skal
gjennomgås
E-postanalyse
Personvern og konfidensiell informasjon
• Håndtering og innsyn må tilfredsstille krav til
behandling av personopplysninger
• Beskyttelse av konfidensiell informasjon (Redaction)
• Beslagsfritt materiale, advokat-klient kommunikasjon
Hvordan forberede seg
•
•
•
•
•
•
•
•
•
Ansettelseskontrakter, taushetsplikt
IT Policy, hva har man lov til
Etablerte rutiner for når og hvordan innsyn kan skje
Sikkerhetsregime, rettigheter – Need-to-know
Gjennomgang av Audit logging
Bruk av kryptering (Beskytte informasjon på avveie)
USB enheter
Kommunikasjonsplattformer(E-post, IM, Chat, CRM)
Enheter utenfor bedriftens kontroll
BYOD – Bring Your Own Device
Innleide Konsulenter
Egne Ansatte
BYOD Undersøkelse*
• What types of information and applications
can be accessed by personal devices?
• What are the top concerns with BYOD?
* 2013
Vår erfaring
• Vår erfaring sier at vi ikke får tilgang til utstyr eid av
andre enn arbeidsgiver
Case
Case
•
•
•
•
Elektronisk informasjon fra 46 personer
Speilkopiert 32 personlige datamaskiner
Filservere, E-postserver, Arkiv/Backup
Mobile enheter
Case forts - Gransking
• Sikret datamengde 10.000 GB (10TB)
• Av dette, 4 TB med e-post, til sammen 25 millioner
dokumenter
• 30.000 SMS
• Filtrert til 340 GB , til sammen 1,55 millioner
dokumenter
• Filtrerte data tilgjengeliggjort i Ontrack Inview
• Basert på relevante søkebegreper er 550.000
dokumenter gjennomgått/lest
Fremgangsmåte elektroniske søk
Kilde: Advokatfirmaet Grette
Bjørn Krok
Mobil: 976 65 018
E-post: [email protected]
Quick Guide for Get box Mikro

Quick Guide for Get box Mikro

DK8 nye funksjoner.

DK8 nye funksjoner.

Alienware 15 Краткое руководство по началу работы

Alienware 15 Краткое руководство по началу работы

10 kroners marked!

10 kroners marked!

USB External Network Card

USB External Network Card

BRUKSANVISNING 38-2547

BRUKSANVISNING 38-2547

Adobe Connect feilsøkingsguide:

Adobe Connect feilsøkingsguide:

Komma igång med e-Control mobilapplikation för iOS och Android.

Komma igång med e-Control mobilapplikation för iOS och Android.

Avanceret sundhedsøkonomi

Avanceret sundhedsøkonomi

Nidaros brukshundklubb 08.02.2015

Nidaros brukshundklubb 08.02.2015

Alt og Alle krever nett! Hvordan får vi til det?

Alt og Alle krever nett! Hvordan får vi til det?

Vita Audio R4i Norsk Bruksanvisning.indd

Vita Audio R4i Norsk Bruksanvisning.indd

Manual WH 1.1

Manual WH 1.1

Kjære kontakt!.

Kjære kontakt!.

for Aker Solutions og Kværner

for Aker Solutions og Kværner

E 300-2 16 Work Suits, Oxford Nylon/PU

E 300-2 16 Work Suits, Oxford Nylon/PU

Pikaopas Quick Start Guide Snabbguide Kiirjuhend - b-bark

Pikaopas Quick Start Guide Snabbguide Kiirjuhend - b-bark

Prisliste og tekniske data Caravanstore ZIP

Prisliste og tekniske data Caravanstore ZIP

AL7000AC_Manual_NOR_versjon 1

AL7000AC_Manual_NOR_versjon 1

Sprint-cup 3, Hovden 07.

Sprint-cup 3, Hovden 07.

Vedlegg 2 – beskrivelse av varegrupper – rev. 2012.pdf

Vedlegg 2 – beskrivelse av varegrupper – rev. 2012.pdf

File - Sangvik Service As

File - Sangvik Service As

abcdocz.com

© Copyright 2024