Polisens it-utredare föredrar numera titeln it-forensiker. Men oavsett om CSI har inspirerat till den förändringen eller inte så har de under senare år fått allt större offentligt genomslag. I ett antal uppmärksammade rättsfall har it-frågorna spelat en framträdande roll, exempelvis i samband med polisbeslaget av TV4-journalisten Trond Sefastssons dator och vid flera fildelningsmål och barnporrhärvor.
Forensiker är av tradition yrkesbeteckningen för SKL:s kriminaltekniska experter – sedan kan de vara specialiserade på allt från medicin och kemi till vapen eller it, men de är inte poliser. Polisens it-forensiker kan ha polisutbildning, men trenden är att allt fler civilanställda utredare tar plats på de tekniska rotlarna.
–En skillnad är att de civilanställda inte får använda någon typ av tvångsmedel. Många gånger är vi med vid husrannsakan och det krävs en polis för att få ta något i beslag, säger Erik Lundström, it-forensiker vid polisen i‑Luleå.
Flera län söker just nu it-forensiker. Polismyndigheten i Norrbotten ska tillsätta sin tredje tjänst. Och under hösten pluggade ett trettiotal personer på Polishögskolans grundkurs för it-forensiker – där man nu frångått den tidigare beteckningen it-brottsspecialist. Totalt finns ett femtiotal aktiva it-forensiker i landet men betydligt fler är utbildade.
–It-brott är helt klart en eskalerande brottstyp, och datorer finns numera i allt, inte minst i mobiltelefoner, säger Nils Nilsson som är chef för kriminaltekniska enheten i Luleå.
I branschen konstaterar man att det finns en ökad tilltro hos åklagare och andra förundersökningsledare till möjligheten att lösa brott genom den typen av undersökningar.
Det innebär att vid alla typer av brott av någon dignitet blir beslag av datorer allt vanligare. Även den tekniska utvecklingen gör att volymerna som ska analyseras ökar hela tiden.
–Vissa ärenden går snabbt, men exempelvis ett barnpornografiärende kan ta väldigt lång tid. Det kan vara hundratusentals bilder, och i princip måste allt gås igenom. Det är otroligt vad de samlar på sig – de verkar ha någon form av samlarmani, säger Erik Lundström.
Vissa polisdistrikt erbjuder psykologhjälp för it-forensiker som är tungt belastade av barnpornografibrott.
It-forensikerna hos polisen arbetar huvudsakligen med utredningar medan forensikerna vid Statens kriminaltekniska laboratorium i Linköping ägnar sig mer åt metodutveckling.
–Vi tar fram nya verktyg och metoder och för ut dem i polisväsendet, säger Håkan Bergstedt, gruppchef vid SKL:s dokument- och informationsteknikenhet.
SKL kontrollerar bland annat den programvara som används. Just nu studerar man program som kan påvisa om det skett någon typ av intrång i beslagtagna datorer.
–Om vi får in en dator för undersökning så kanske vi hittar ett antal filer som inte borde vara där – det kan vara barnpornografi, uppgifter om narkotikaförsäljning eller något annat. Det händer då att datorns innehavare säger att ”det här är inte filer som jag har lagt in, de måste ha kommit utifrån”.
För att avgöra om filerna kan vara resultatet av ett intrång krävs program som granskar om det exempelvis finns så kallade trojaner – fientlig programvara som tagit sig in och därefter fört in filer eller på annat sätt påverkat innehållet i datorn.
Hittas något misstänkt undersöker man vilka konsekvenser viruset kan ha: Har det funktioner som laddar ner något, som öppnar en port eller på andra sätt gör datorn tillgänglig utifrån?
Men nya verktyg som inte har använts tidigare måste testas noga för att forensikerna – och i slutändan rättsväsendet – ska kunna lita på dem.
–Nya program kräver lämpliga metoder att säkra information så att vi kan få hållbara resultat, säger Jyrki Juntunen, forensiker vid SKL.
Även de ökande volymerna ställer till problem.
–Det är framför allt datamängderna som är svåra att hantera. Det ställer stora krav på de metodiker man använder, säger han.
Ett annat växande problem för SKL är kryptering, men av säkerhetsskäl vill man inte närmare avslöja hur man tacklar det.
SKL hanterar framför allt undersökningar av utrustning medan spaning kring internetbedrägerier, misstänkt olaglig fildelning och liknande sköts av polisen – antingen lokalt eller av Rikskriminalpolisen.
Fotnot: CSI står för Crime Scene Investigation, brottsplatsundersökning.
Brottsplatserna allt mer digitala
Statens kriminaltekniska laboratorium (SKL) tar på hemsidan själva till jämförelsen med tv-serien CSI när man ska beskriva arbetet. Men medan kriminalseriens stjärnor kan utföra alla moment på brottsplatsen är verklighetens undersökare uppdelade på ett stort antal yrken – allt från medicinare till kemister och it-experter.
Fakta
• Det beslagtagna materialet dokumenteras. Vilken hårdvara är det och vad säger fabrikanterna om den?
• En eller flera forensiskt korrekta kopior görs av hårddiskar och andra lagringsmedier. Med hjälp av skrivskyddsfunktioner garanteras att originalet blir oförändrat. All analys sker på kopiorna och originalet rörs aldrig.
• Den traditionella analysmetoden är genomsökning med hjälp av sökord och liknande.
• En annan metod är att göra om kopian till en systemdisk. Då kan den köras som en virtuell dator i en annan dator. Därmed kan forensikern studera den i en miljö som så mycket som möjligt liknar det användaren såg.
• Förloppet dokumenteras kontinuerligt. Vilka verktyg som använts noteras.
• Slutsatserna sammanfattas i ett sakkunnigutlåtande.
Så gör SKL en forensisk it-undersökning
• Det beslagtagna materialet dokumenteras. Vilken hårdvara är det och vad säger fabrikanterna om den?
• En eller flera forensiskt korrekta kopior görs av hårddiskar och andra lagringsmedier. Med hjälp av skrivskyddsfunktioner garanteras att originalet blir oförändrat. All analys sker på kopiorna och originalet rörs aldrig.
• Den traditionella analysmetoden är genomsökning med hjälp av sökord och liknande.
• En annan metod är att göra om kopian till en systemdisk. Då kan den köras som en virtuell dator i en annan dator. Därmed kan forensikern studera den i en miljö som så mycket som möjligt liknar det användaren såg.
• Förloppet dokumenteras kontinuerligt. Vilka verktyg som använts noteras.
• Slutsatserna sammanfattas i ett sakkunnigutlåtande.
