Interview Harm van Beek, bijzonder hoogleraar Digital Forensics aan de Open Universiteit
Hoe scheid je digitale content tussen een advocaat en een verdachte van andere gegevens op bijvoorbeeld een telefoon. Dat is nog niet zo makkelijk zegt Harm van Beek. Als kersverse bijzonder hoogleraar Digital Forensics aan de Open Universiteit gaat hij onder meer dit onderwerp te lijf.
Harm van Beek is Senior Digitaal Forensisch Onderzoeker bij het Nederlands Forensisch Instituut (NFI). Dat blijft hij ook. Een dag in de week maakt het NFI het mogelijk dat hij zijn onderzoek kan doen aan de Open Universiteit. De leerstoel is onder meer in het leven geroepen, zo vertelt hij, om de samenwerking tussen de onderwijsinstelling en het NFI handen en voeten te geven. ‘Mijn werk als hoogleraar zal zich vooral richten op onderzoek. De Open Universiteit heeft een opleiding cybersecurity. Het is denkbaar dat daar een module digitaal forensisch onderzoek in wordt opgenomen.’
Voorts is er de hbo-opleiding Forensisch ICT bij Hogeschool Leiden. ‘Daar worden de digitale experts klaargestoomd. Zij gaan werken bij politie of openbaar ministerie.’
Juridische werkelijkheid
Van Beeks werk bij NFI bestaat uit het uitvoeren van onderzoek in strafzaken en het doen van wetenschappelijk onderzoek op digitaal forensisch gebied (2009 – nu). ‘Je hebt de juridische en de technische werkelijkheid. Die komen nog niet altijd overeen. Juist daar waar geen overlap is, liggen uitdagingen’, vertelt hij.
Zo is het juridisch helder dat de inhoud van de communicatie tussen een verdachte en zijn/haar advocaat geheim blijft. Dat geldt ook voor een notaris en een geestelijke. ‘Als je een brief hebt van een advocaat aan zijn cliënt, dan is dat duidelijk: die stop je in het mapje ‘niet openen’. Maar als het om digitale informatie gaat, dan is dat niet zo eenvoudig’, stelt de bijzonder hoogleraar. ‘Op een telefoon kan heel veel informatie staan. Ook gegevens die niet openbaar mogen worden gemaakt. Hoe maak je dat onderscheid?. Op het moment dat je ziet dat het een vertrouwelijke communicatie is, ben je te laat. Het kan bijvoorbeeld een document zijn dat aan een email gehecht was. Als het een pdf is, en je opent dat op een telefoon, dan wordt er een kopie van gemaakt. Het kan gebeuren dat de oorspronkelijke email is verdwenen, maar dat die kopie nog ergens is bewaard. Er spelen bijzondere vraagstukken als het gaat om geheimhouding en het doorzoeken van digitale sporen.’
Formele methode
Van Beek heeft een technische achtergrond. Hij heeft technische informatica gestudeerd aan TU Eindhoven. Zijn afstudeerscriptie ging over formele methode. Dit is op wiskunde en formele logica gebaseerde benadering om software en hardwaresystemen te specificeren en te verifiëren. De formele methode wordt bijvoorbeeld ook gebruikt in de civiele techniek om te bewijzen dat een bepaalde berekening klopt.
‘Het wordt overal gebruikt’, zegt Van Beek, ‘behalve bij digitaal forensisch onderzoek. Het zou toch mooi zijn om bepaalde processen in abstracte vorm te beschrijven. De leerstoel is ook bedoeld om te onderzoeken hoe we in dit vakgebied de formele methode kunnen toepassen.’
Miljoenen sporen moesten we volgen. Wij hebben toen Xiraf gebruikt
– Harm van Beek
In een wereld die steeds digitaler is, laten mensen vaker digitale sporen achter. Niet alleen op computers, maar ook op telefoons, tv’s, auto’s en zelfs wasmachines. ‘Tegenwoordig zijn heel veel apparaten ‘smart’. Ons werk is om die gegevens van de apparaten af te halen, ze te rangschikken, toegankelijk te maken en ze te duiden. En dan op een manier te beschrijven dat ook een rechter kan zien welke waarde de data hebben binnen een bepaalde strafzaak.’ Speciale aandacht is er natuurlijk voor versleutelde apparaten. ‘Bij het NFI werken mensen die dagelijks bezig zijn om apparatuur en/of data te ontsleutelen.’
Hij vertelt van de Amsterdamse zedenzaak, een omvangrijk zedendelict dat in december 2010 aan het licht kwam. Het betrof seksueel misbruik op verschillende kinderdagverblijven in Amsterdam. De hoofdverdachte Robert M. is uiteindelijk veroordeeld tot negentien jaar gevangenisstraf en tbs met dwangverpleging.
‘De politie had toen acht terabyte aan gegevens in beslag genomen. Destijds was dat heel veel. Ouders wilden graag weten of hun kind ook slachtoffer was. Er lag publieke druk om snel inzicht te krijgen in de gegevens. Miljoenen sporen moesten we volgen. Wij hebben toen Xiraf gebruikt.’ Dit was de eerste forensische softwaretoepassing die het verwerken van in beslag genomen data automatiseerde. Het begon in 2006 als een researchproject en werd in 2010 aan de Nationale Politie geleverd. Van Beek: ‘Xiraf maakte het voor tactisch rechercheurs mogelijk om zelf digitale sporen te doorzoeken Voorheen waren digitaal rechercheurs belast met het zoeken naar bewijs, terwijl tactisch rechercheurs met hun zaakkennis gerichter konden zoeken naar relevante sporen.’
Hansken
‘Bij de Amsterdamse zedenzaak konden we beschikken over rechercheurs uit het hele land. Na afloop gingen die weer terug naar hun eigen eenheid. Eenmaal in Limburg, Groningen of waar dan ook, wilden zij beschikken over Xiraf, maar dat was vooral een proof of concept. Toen hebben we in 2012 besloten om er een product van te maken, compleet met helpdesk, ontwikkelingsstrategie, enzovoorts. Dat is Hansken geworden. Dit doet in slechts dertig minuten wat Xiraf in 24 uur kon. Hansken is een krachtige forensische zoekmachine die enorme hoeveelheden digitale data snel doorzoekbaar maakt voor politieonderzoek.’
Van Beek vertelt over de naamgeving Hansken. ‘We wilden een naam die verwijst naar een groot dier, zoals Xiraf. Maar in Nederland heb je geen olifanten of neushoorns. Totdat iemand erachter kwam dat de VOC in 1632 een olifant vanuit Azië verscheepte naar Nederland als geschenk voor prins Frederik Hendrik. Zij heette Hansken. Na aankomst reisde ze langs jaarmarkten, kermissen en tentoonstellingen in binnen- en buitenland. Zelfs Rembrandt was onder de indruk en maakte schetsen van haar.
