Elektroniskt bevismaterial får en allt större roll som bevisning både i civilrättsliga tvister och i brottmål. Sedan 2010 har Institutet för informationsteknologi hållit kurser i it-forensiska utredningar, även kallat computer forensics. Kursen fokuserar på hur man kan spåra, identifiera och säkra bevis och vad som krävs för att bevisen sedan ska ligga till grund för olika åtgärder. Conny Larsson är advokat på Gärde & Partners och är föreläsare på kursen. CIO Sweden kontaktade honom för att höra vilken nytta en CIO kan ha av kunskaper i it-forensiska utredningar.

Varför är det viktigt att lära sig mer om it-forensiska utredningar?
- Det gäller att skapa insikt i hur personalen kan förstöra viktiga elektroniska spår genom att vidta egna åtgärder i informationssystemen och därmed förstöra eller reducera bevisvärdet hos dessa spår. Samtidigt handlar det om att skapa förståelse för hur de elektroniska spåren kan användas som bevisning, men även vilka risker och felkällor som följer med tekniken så att vi inte överskattar bevisvärdet så att oskyldiga kommer i kläm. Med andra ord måste vi lära oss att ifrågasätta vår egen elektroniska bevisning så att vi inte tror att den är tillförlitligare än den är.

Vad är det viktigaste budskapet i kursen?
- Förutom att förstå vad en elektronisk bevisning är, hur den kan användas och hur den kan misstolkas är det viktigt att sprida och öka kunskaperna både om hur en elektronisk bevisning kan tas fram och hur den kan ifrågasättas. Detta är ett av de viktigaste budskapen i kursen.

- Med stöd av den elektroniska bevisningen ska vi ju vidta olika mer eller mindre ingripande åtgärder mot människor. Vi ska kanske skilja dem från deras arbete eller rentav döma dem till fängelsestraff utifrån den elektroniska bevisning vi tagit fram. I sådana situationer är det särskilt viktigt att bevisningen är tillförlitlig och korrekt. I korthet kan det sägas att kursen vill förmedla att vi inte ska tro att den elektroniska bevisningen är bättre än den är.

Vilka är de vanligaste it-brotten?
- Om vi utgår från våra företag och myndigheter är de vanligaste it-brotten att någon obehörigen går in i systemen och tar del av information, som till exempel dataintrång, brott mot tystnadsplikt och företagsspioneri. Det förekommer också olika slags datorbedrägerier, till exempel bluffakturor som skickas in via systemen och som ibland till och med betalas. Att företagets eller myndighetens datorer används av anställda eller andra för olovlig fildelning förekommer också, alltså upphovsrättsintrång. De kanske allvarligaste brotten är de olika slags angrepp som syftar till att sänka eller störa systemen, som den senaste hackerattacken mot SJ:s biljettbokningssystem.

- Virusangrepp, spamattacker och liknande räknas också som dataintrång. Beroende på arten och omfattningen av angreppen kan detta skada inte bara den angripna verksamheten utan samhället i stort. Det finns ett lagförslag som kommer att kunna innebära att ett ”grovt dataintrång” införs och att detta kan leda till mellan sex månaders och sex års fängelse (SOU 2013:39). Vanligt dataintrång kan högst leda till två års fängelse. Vilka it-brott som är vanligast varierar med teknikutvecklingen. Det finns siffror som visar att it-brottsligheten ökat cirka fyra gånger under den senaste sexårsperioden, men dessa bygger på antalet anmälningar och därför kan det finnas ett större eller mindre mörkertal.

Vid vilken punkt brukar man börja misstänka informationsförluster? Vilka är de första tecknen?
- Låt oss utgå ifrån att informationsförlusten består i en informationsstöld. Och då ska vi vara medvetna om att det är stor skillnad mellan en informationsstöld och exempelvis en bilstöld. Om någon stjäl en bil märks detta tydligast genom att bilen helt enkelt är borta. Så är oftast inte fallet med informationen som finns kvar i systemet i oförändrat skick. Informationen kan i stället ha blivit kopierad och på det sättet kommit i orätta händer. Ett första tecken på att informationen stulits kan då vara att vi haft ett obehörigt besök i systemet, vilket till exempel kan upptäckas i våra loggar. Av detta skäl är det viktigt att företaget eller myndigheten loggar access och åtgärder i systemen.

- Loggningen rekommenderas även av Datainspektionen och kan anses utgöra ett säkerhetskrav enligt personuppgiftslagen (PuL) vid behandling av personuppgifter. Är det i stället någon som behörigen varit inne i systemet och därefter kopierat informationen för att använda den för otillåtna ändamål blir det mera problematiskt. Hur den behörige användaren senare tänker använda informationen syns ju inte i loggarna. Det kanske vanligaste sättet att upptäcka informationsförlusten blir då när den publiceras eller används på annat håll. Att därefter spåra händelsekedjan bakåt och hitta gärningsmännen blir vanligtvis en komplicerad och krävande historia. I många fall gör det att vi inte ser någon mening vare sig i att utreda eller anmäla brottet, utan nöjer oss med att försöka minska skadan och täppa till luckor i systemen.

Vilka är de områden som förändrats mest sedan kursen startade?
- Från att från början mer eller mindre handla om tekniska frågor och affärsupplägg inom data- och telekomområdet har juridiska frågor och avtalsfrågor kommit att få ett ökande intresse. Ifi gav inte någon renodlad kurs om computer forensic förrän 2010, även om ämnet ingick som en mindre del i Ifi:s tidigare seminarier eller kurser om it-brott och it-säkerhet från 2007. Ifi håller nu flera olika kurser inom det it-rättsliga området. Intresset är stort för avtalsfrågor inom it-området.

Vid vilket läge ska företaget polisanmäla det misstänkta brottet?
- I de allra flesta fall ska polisanmälan ske snarast möjligt. Ju längre tiden går desto mer ”svalnar” spåret. Det är viktigt att gärningsmannen får så lite tid som möjligt på sig för att dölja sina spår men även för att undvika att vi själva förstör spåren genom att fortsätta använda systemet. Tänk på att vi kan förstöra bevisningen genom att vi själva vidtar olika utredningsåtgärder i systemen. Det är alltså i de flesta fall bättre ju tidigare polisen och deras tekniker får möjlighet att påbörja utredningen.

Iphones nya modell 5S har fingeravtrycksläsare. Hur ser du på den utvecklingen ur it-säkerhetssynpunkt?
- Det är ju lätt att inse att det praktiskt är mycket lättare att få tillgång till någon annans pinkod än att stjäla dennes fingeravtryck. I nuläget framstår fingeravtrycket därför som ett klart säkrare och mera tillförlitligt sätt att identifiera någon än enbart pinkoden. Å andra sidan utvecklas tekniken hela tiden så det blir säkert möjligt att komma över någon annans fingeravtryck, överföra detta till elektronisk form och därefter använda det i olika sammanhang.

- Vi måste vara beredda på detta så att vi inte tror att fingeravtrycksläsarna är den ultimata och eviga lösningen på alla säkerhetsproblem. Genom att vi själva är vår första kritiker kan vi ständigt utveckla och förbättra säkerheten. Även här handlar det om att vi inte ska överskatta vår förmåga, så att oskyldiga kommer i kläm när vi värderar bevisningen.