Visionär it-forensik på NFI

När it-forensikerna på NFI ville lösa problemet med stora mängder data i utredningar föddes Hansken, en intelligent forensisk sökmoter. +3

  • När it-forensikerna på NFI ville lösa problemet med stora mängder data i utredningar föddes Hansken, en intelligent forensisk sökmoter.
    När it-forensikerna på NFI ville lösa problemet med stora mängder data i utredningar föddes Hansken, en intelligent forensisk sökmoter. Bild: NFI
  • It-forensiker på NFI, Nederlands Forensisch Instituut.
    It-forensiker på NFI, Nederlands Forensisch Instituut. Bild: NFI
  • Att flytta analysen av pulverdroger ut på polisstationerna är ett exempel på brottsplatsnära teknik som har varit framgångsrik för NFI.
    Att flytta analysen av pulverdroger ut på polisstationerna är ett exempel på brottsplatsnära teknik som har varit framgångsrik för NFI. Bild: NFI
  • Rik Walinga arbetar på droganalysavdelningen på NFI. "I INFiDENT sker allt digitalt och testet hålls så enkelt att inget kan gå fel", berättar han.
    Rik Walinga arbetar på droganalysavdelningen på NFI. "I INFiDENT sker allt digitalt och testet hålls så enkelt att inget kan gå fel", berättar han. Bild: Susanne Karlsson, KA-Öst
Bild /4

Visionär it-forensik som kan söka igenom enorma mängder data. Det får vi stifta bekantskap med på besök hos The Netherlands Forensic Institute, NFI. Dessutom visar de sitt arbete med innovationer för brottsplatsundersökningar.

DEN EXTREMT VÄXANDE datamängden gjorde att it-forensikerna på NFI insåg att de behövde göra något som var radikalt annorlunda mot vad de gjort tidigare. Den stora mängden data gjorde att det var svårt att tolka den och framförallt svårt att förstå vad som kunde vara intressant i datan.

– I den takt som data producerats det senaste decenniet var det omöjligt att hänga med genom våra gamla arbetsmetoder. Vi startade ett forsknings- och utvecklingsprojekt för att se om vi kunde processa de stora mängderna data automatiskt, säger it-forensikern Jörgen Bodde. Vi var visionära – hur ska digital forensik utföras i framtiden?

De visionära tankarna ledde till att Hansken föddes.

– Hansken var den första elefanten som kom till Nederländerna och Rembrant såg henne 1637 och tecknade henne. Det var något som aldrig tidigare skådats i Nederländerna, därför döpte vi vårt projekt efter elefanten Hansken. En elefant har också bra minne, vilket liknar den stora mängden data som Hansken behöver "komma ihåg", säger Bodde som är produktägare för Hansken.

HANSKEN ÄR EN intelligent forensisk sökmotor som kan hantera stora datamängder, så kallad big data, för att göra undersökningar åt polisväsendet genom ett och samma gränssnitt. Hansken kan bäst beskrivas som Google för forensiker och utredare.

– Genom Hansken kan vi automatiskt identifiera vad som är intressant data, exempelvis e-mail och foton, och ta fram den till utredarna genom ett intuitivt gränssnitt.

Hansken använder en "service-baserad" approach som tillåter att ett helt team kan jobba med samma fall tillsammas. En typisk utredning kan innehålla flera terabyte av beslagtaget material. Det är ett automatiserat system som bygger på att utredarna är de som ska titta på materialet, eftersom de har bäst kunskap om fallet och kan identifiera relevanta ledtrådar.

– Alla utredare vill ha ut information från data, men de vet inte hur de ska hitta det som är intressant. Hansken löser det problemet. Fakta finns i datan och Hansken hjälper till att ta fram dem genom att utredaren kan tillämpa ett hierarkiskt filter som filtrerar fram relevanta resultat.

SYSTEMET BYGGER PÅ strikta forensiska principer. Hansken kan identifiera vad som är bilder, vad som är text och så vidare, den kan till och med klassificera bilder med exempelvis vapen eller droger.

– Det finns support för ansiktsidentifiering som tar fram de tio bäst matchande kandidaterna.

Första gången Hansken användes var när det kom in ett ärende där stora mängder data behövde analyseras mycket snabbt, det handlade om många terabyte.

– Vi insåg att det skulle ta för lång tid med våra gamla arbetsmetoder och använde då Hansken för första gången i ett riktigt fall. Det blev en omedelbar succé, berättar Bodde.

För Bodde och hans kollegor har Hansken revolutionerat arbetet. Idag är systemet på väg att bli standard för utredningar av stora mängder data och används av mer än 2 000 utredare i Nederländerna. Även internationellt finns ett intresse för Hansken.

I MAJ 2018 dömdes en person till fängelse av en nederländsk domstol baserat på bevis som helt automatiskt tagits fram av Hansken, som bland många miljoner sms hittat krypterade sms-meddelanden som beordrade ett mord. Utredarna kunde med hjälp av Hansken söka fram de sms som innehöll möjligt "kriminellt" innehåll. Systemet kan söka på ord som är uppenbart kriminella som "droger" och "mörda". Men många konversationer av denna typ sker med hjälp av kodord, där droger kan kallas godis och mörda kallas sova. Hansken kan då också söka på denna typ av kodord.

– Vi utvecklar Hansken själva och vi utvecklar hela tiden systemet med nya verktyg.

Bodde berättar om ett fall som innehöll 1,5 petabyte data, vilket motsvarar 15 miljoner gigabyte. Det ärendet hade de inte klarat med sina tidigare arbetsmetoder.

– Vi erbjuder Hansken mot en licens-avgift, det är inget vi tjänar pengar på utan det är för att täcka fortsatta utvecklingskostnader. Att erbjuda Hansken till andra ger oss kunskap tillbaka. Vi tror inte på att uppfinna hjulet gång på gång

■■■

Att kriminaltekniker och polis ska kunna göra fler undersökningar direkt på brottsplatsen – det är målet för gruppen för brottsplatsanalys. De försöker överbrygga gapet mellan brottsplats och laboratorium.

– Vi startade brottsplatsanalysgruppen för att underlätta för nya metoder att kunna användas direkt på brottsplatsen och för att skapa nytta vid brottsplatsundersökningar, berättar Matthijs Zuidberg, som är forskare och kemist. Det finns ett stort gap rent tekniskt mellan labbet och brottsplatsen.

KRIMINALTEKNIKER HAR OFTA inte tillgång till de vetenskapliga framstegen och gruppens uppgift är att hjälpa dem att få det. Gruppen vill sprida både kunskap och nya metoder.

– Vi tror att själva brottsplatsundersökningen är den svåraste delen inom forensiken. Ändå satsas mest utbildning på dem som är inne på laboratoriet. Vi vill att det ska gå snabbare för kriminalteknikerna att göra undersökningar och att få resultat från dem. Vi jobbar med att poliser och kriminaltekniker själva ska kunna göra undersökningar, du ska inte behöva vara en expert för att bli kriminaltekniker, säger Marcel van Beest som är gruppchef för brottsplatsanalysgruppen. Han har tidigare arbetat både som kriminaltekniker, spårexpert och är utbildad fysiker.

Gruppen för brottsplatsanalys samarbetar i vissa utvecklingsprojekt med svenska NFC.

Att flytta analysen av pulverdroger ut på polisstationerna är ett exempel på brottplatsnära teknik som varit framgångsrik. Tidigare analyserades alla droger på NFI:s labb i Haag och då var handläggningstiden i genomsnitt 20 dagar. Idag har tiden kapats rejält vad gäller pulverdroger – till två dagar.

SYSTEMET SOM INFÖRDES kallas för NFiDENT och det analyserar de vanligaste drogerna i pulverform. NFI har använt systemet i knappt tre år och det har vidareutvecklats och kan nu ta större prover vilket minskar risken för kontaminering. Polisstationerna i Nederländerna har egna laboratorier och där finns NFiDENT-maskinerna. Med dessa är det möjligt att identifiera kokain, heroin, amfetamin eller MDMA, vilket är cirka 80 procent av alla pulverdroger. Med maskinerna går det också att se om det inte är någon av dessa droger, vilket kan vara nog så viktigt för att inte oskyldiga ska riskera att sitta häktade.

– Efter analysen i NFiDENT sänds datan till NFI som kontrollerar den. Allt sker digitalt och testet hålls så enkelt att "inget kan gå fel", berättar Rik Walinga på droganalysavdelningen på NFI.

Gruppen för brottsplatsanalys under-söker också möjligheten för kriminaltekniker att i högprioriterade fall redan på brottsplatsen kunna utföra vissa steg av dna-analyserna. Ett annat projekt som de arbetar med är att se om metoder för att hitta fingeravtryck på brottsplatser även kan användas för att säkra dna-spår.

– Vi använder en vakuumteknik som nu utvecklas för att kunna användas på brottsplats. Vi vill hitta relevanta dna-spår genom att använda tekniker som används för att hitta fingeravtryck, säger Marcel van Beest.

Till stor del handlar arbetet på brottsplats om att hitta och säkra rätt spår och samtidigt undvika att irrelevanta spår säkras.

– Vi vill hitta de relevanta spåren på brottsplatsen. Vi tittar på enklare dna-maskiner som kan se om blod innehåller spår från en eller två personer, säger Marcel van Beest.

NFI STUDERAR VILKEN effekt ny teknik har och mäter hur stor nytta som skapas och vad den nya tekniken gör med människorna som använder den. Behovet av forskning och utveckling ökar. Polisen och de som ska använda teknikerna är alltid involverade i arbetet och det utgår från användarnas behov. Marcel van Beest jämför brottsplatsundersökningar med operationer och kirurgi.

– Att operera ett knä är ett komplext arbete på samma sätt som det är komplext att undersöka brottsplatser. Vi använder vetenskapliga metoder för att utveckla kirurgin – vi vill använda samma metoder för att utveckla brottsplatsundersökningar. ■

Text: Susanne Karlsson, KA-Öst
Foto: Nederlands Forensisch Instituut

Fakta: Om NFI

  •  NFI är det nationella forensiska laboratoriet i Nederländerna, de är organiserade under Justitiedepartementet. NFI finns i huvudstaden Haag.
  • NFI har cirka 500 medarbetare.
  • De beskriver sitt uppdrag så här "fokuserad på sanning, guidad av vetenskapen, för ett säkrare samhälle".
Till toppen