De digitaal onderzoeker en de IT-auditor: Samen sterk!

10 juli 2015
In dit artikel:

Dit artikel is een geanonimiseerde beschrijving van een fraudeonderzoek waarin wordt stilgestaan bij het belang van logging voor de uitvoering van een digitaal onderzoek. De term fraude wordt gedefinieerd als het behalen van een wederrechtelijk voordeel door opzettelijke misleiding.

Bij een gepleegde fraude is meestal sprake van de drie elementen van de ‘fraudedriehoek’: druk, gelegenheid en rationalisatie.

Fraudedriehoek

Met ‘druk’ wordt bedoeld dat de fraudeur de behoefte voelt om de fraude te plegen. Bijvoorbeeld door druk vanuit een organisatie of vanwege financiële problemen. Het element ‘gelegenheid’ spreekt eigenlijk voor zich en houdt in dat bepaalde situaties een potentiële fraudeur mogelijkheden bieden om te frauderen. Met ‘rationalisatie’ wordt bedoeld dat de fraudeur het plegen van de fraude vergoelijkt met gedachten als ‘ik word onderbetaald’ of ‘hij verdient het’.

Beheersmaatregelen kunnen helpen fraude te voorkomen en kunnen ook een functie hebben bij fraudeonderzoeken. Juist bij het adviseren en implementeren van preventieve en detecterende maatregelen kan de IT-auditor de digitaal onderzoeker ondersteunen. Een voorbeeld daarvan is ‘logging’. Waarom logging alleen bewaren voor een systeembeheerder en niet ook opslaan in de dagelijkse back-up? Zullen wij dat als IT-auditors snel adviseren?

Maar dat wordt misschien anders als u gaat redeneren vanuit het perspectief van de digitaal onderzoeker, die juist vaak gebruikmaakt van verschillende soorten logging.

Om het belang van logging voor een digitaal onderzoek te illustreren volgt hier een beschrijving van een casus uit de praktijk. Een organisatie ergens uit het midden van het land klopte halverwege 2014 bij ons aan. Het lukte ze maar niet om offertes gegund te krijgen. Bovendien waren er aanwijzingen dat een concurrent uit de buurt toegang had tot de offertes van onze klant en daardoor steeds een iets scherpere offerte kon uitbrengen. En ja, de opdrachten werden bijna allemaal gegund aan de concurrent.

Praktijkcasus

Aan ons werd gevraagd te onderzoeken of en in hoeverre er sporen van digitale braak binnen hun computeromgeving aanwezig waren.

Eerst zijn de informatiestromen rondom de offertes en de totstandkoming van de offertes in kaart gebracht en in een informatiewolk vastgelegd. Daaruit bleek dat voornamelijk de commercieel directeur en het team om hem heen zich bezighielden met het opmaken van offertes. Dat was  logisch. Ook bleek dat de secretaresse de offertes vanuit de e-mailpostbus van de commercieel directeur verzond. De offertes werden opgeslagen in een afdelingsmap op het netwerk. Functiescheiding en rechtenbeheer waren in orde: alleen de betrokken medewerkers en de administrator hadden toegang tot de betreffende afdelingsmap. De policy ‘auditing’ op die map stond aan. Deze policy houdt bij wie welke activiteiten met de documenten in de betreffende map uitvoert. Jammer genoeg werd de bijbehorende logging niet opgeslagen. Voor het onderzoek konden onze onderzoekers daar dus niet op terugvallen.

Uit de informatiewolk bleek verder dat interne informatie op twee manieren vanaf internet kon worden ontsloten. Zo was er voor de medewerkers de mogelijkheid om via een secure VPN-verbinding in te loggen op het bedrijfsnetwerk en konden ze via internet de eigen zakelijke e-mailpostbus inzien. Bij toeval – het werd onbedoeld in de dagelijkse back-up meegenomen – hadden onze digitaal onderzoekers de beschikking over zowel logging afkomstig van de VPN-omgeving als logging van de Outlook Web Access-omgeving (e-mail via internet).

De VPN-logging gaf geen aanwijzingen voor digitale braak in het bedrijfsnetwerk. De IP-adressen van waaruit werd ingelogd op het bedrijfsnetwerk konden allemaal worden gekoppeld aan medewerkers van de organisatie. De logging van Outlook Web Access gaf echter wel een aanknopingspunt. Er bleek namelijk dagelijks via Outlook Web Access te worden ingelogd op het zakelijke e-mailaccount van de commercieel directeur. Het bijbehorende IP-adres behoorde, zo bleek uit openbare bronnen, toe aan de concurrent aan wie de offertes wél werden gegund. Op basis van de betreffende logging kon goed inzichtelijk gemaakt worden welke emailberichten en bijbehorende attachments de concurrent had geraadpleegd. De conclusie die de onderzoekers op basis van het onderzoek konden trekken luidde: ‘Vanaf het IP-adres van de concurrent is toegang geweest tot de zakelijke e-mailpostbus van de commercieel directeur. Daarbij zijn e-mailberichten met aanbiedingen en offertes geraadpleegd.’

Uiteraard is de directeur van de concurrent door de onderzoekers uitgenodigd om de bevindingen te bespreken. Deze had echter ‘geen tijd’ voor een gesprek. Onze opdrachtgever heeft de concurrent aansprakelijk gesteld voor de gederfde inkomsten en heeft aangifte gedaan. Op dit moment is deze casus nog onder de rechter.

Tot slot

Resumerend is het advies aan de IT-auditor: beoordeel een netwerk, een applicatie of een procedure niet alleen vanuit standaard-kwaliteitsaspecten als vertrouwelijkheid, integriteit of beschikbaarheid. Kijk breder en beoordeel een netwerk, een applicatie of een procedure ook eens door de bril van een digitaal onderzoeker en kijk naar mogelijkheden die ICT kan bieden bij fraudeonderzoek. Door het advies van u als IT-auditor om preventieve en detecterende maatregelen te implementeren, kunt u bijdragen aan het efficiënter uitvoeren van eventuele fraudeonderzoeken. Wellicht zorgt uw advies zelfs tot nog hogere oplossingspercentages. 

R. (Roy) Zwartjes RE

Binnen Hoffmann is Roy senior digitaal onderzoeker met een IT-audit achtergrond. Als onderzoeker houdt hij zich in de breedste zin van het woord bezig met het uitvoeren van fraudeonderzoek. Daarnaast adviseert hij bedrijven hoe zij zich, rekening houdend met de risico’s die voortkomen uit de verschillende onderzoeken, daar beter tegen kunnen wapenen.