Sådan sikrer du beviser ved cyberangreb

Hvis uheldet er ude, og din virksomhed er blevet ramt af et cyberangreb, er det vigtigt, at du hurtigst muligt sikrer relevante data. Det er nødvendigt for at lokalisere sårbarheder i din IT-infrastruktur for at sikre den mest optimale genopretning af dine IT-systemer. Derudover giver du politiet de bedste forudsætninger for at efterforske mod de cyberkriminelle.

Hvilke data skal sikres?

Til efterforskningen kan der være behov for sikring af logs fra fx firewalls eller netværksudstyr og kopier af konkret IT-udstyr. Til politiets efterforskning er det relevant at undersøge ramte systemer, computere og servere, og særligt når, de ikke har været slukkede, da der kan være vigtige spor i fx RAM (computerens arbejdshukommelse).

Sikringen af digitale spor skal altid ske umiddelbart efter et angreb, og inden du slukker dit IT-udstyr. Undgå at påbegynde videre behandling af data, da kan risikere at kompromittere eventuelle beviser.

Nedenfor ses eksempler på data, som typisk er vigtige at sikre i forbindelse med de forskellige typer it-kriminalitet:

  • Kopier af ramte computere og servere – herunder kopier af RAM (computerens arbejdshukommelse), hvis de ikke har været slukkede
  • Logs fra eksempelvis EDR/NDR/XDR, AV, IDPS, FIM, SYSMON el. lign.
  • Kopier af filer, programmer eller andet efterladt af gerningspersonerne

  • Ransomware-noten
  • Tre krypterede filer
  • Kopier af ramte computere og servere – herunder kopier af RAM (computerens arbejdshukommelse), hvis de ikke har været slukkede
  • Logs fra eksempelvis EDR/NDR/XDR, AV, IDPS, FIM, SYSMON el. lign.
  • Kopier af filer, programmer eller andet efterladt af gerningspersonen
  • Kryptovalutaadresser relateret til gerningspersonen
  • kommunikation med gerningspersonen

  • Relevante logs fra virksomhedens mailsystem.
  • Originale mails (som vedhæftede filer)
  • Kryptovalutaadresser relateret til gerningspersonen

  • Netværkstrafiklogs
  • Tilladelse til at politiet indhenter data fra virksomhedens internetudbyder

Principper for sikring af data

Ved sikring af data og potentielle beviser kan din virksomhed eller et IT-sikkerhedsfirma følge nedenstående principper.

  1. Data sikres hurtigst muligt, så det ikke går tabt. Husk at sikre en kopi af dit system, inden du fortsætter behandlingen af data, da der ellers er risiko for, at du kompromitterer potentielle beviser.
  2. Alle datasæt tildeles et ID-nummer, så politiet kan identificere, hvor data stammer fra.
  3. Der anvendes anerkendte datasikringsformater(fx E01, AFF4, L01 eller åbne formater som fx DD, DMG og KAPE), så data kan anvendes i politiets forensic-værktøjer.
  4. Der foretages en hash-beregning(fx MD5 eller SHA1) pr. sikret datasæt. Dette skal sikre, at data er intakt fra sikringstidspunktet og ved senere undersøgelser.
  5. Der anvendes ubrugte eller wipede modtagermedier til datasikringen. På den måde risikerer data ikke at blive kontamineret med anden data.
  6. I forbindelse med datasikringen anbefales det at dokumentere en række forhold. Til dette kan du bruge skabelonen via linket nedenfor. Beskriv gerne, hvorfor du mener, at de sikrede data kan bidrage til at bevise hændelsesforløbet, og hvem der har foretaget sikringen.

Skabelon til sikring af digitale beviser

Politiets First Response Team kan vejlede dig i en sikker overførsel af de sikrede data til politiets efterforskning. Ring 114 og bliv viderestillet til teamet!

Hvornår kan data slettes?

I nogle tilfælde kan politiet få behov for at indhente yderligere data til efterforskningen. Det anbefales derfor, at du retter henvendelse til politiet, inden du og din virksomhed sletter data, der kan indeholde spor fra cyberangrebet, så I kan afstemme om data må slettes.

Indholdet i denne artikel er udarbejdet af politiet, Center for Cybersikkerhed og en række IT-sikkerhedsfirmaer.

 

 

 

Er din virksomhed blevet ramt af et cyberangreb?

Så følg denne vejledning. Den kræver et vist teknisk kendskab, men tager dig igennem relevante skridt i sikringen af digitale beviser. Samarbejder du med et IT-sikkerhedsfirma, kan I med fordel følge vejledningen sammen.  Vejledningen er udarbejdet i tæt samarbejde mellem politiet, Center for Cybersikkerhed og en række IT-sikkerhedsfirmaer.

Hvordan får jeg hurtig kontakt til politiet ved et cyberangreb?

Ring 114 og bliv viderestillet til politiets First Response Team. Politiets IT-eksperter kan vejlede dig i, hvordan du anmelder et cyberangreb og sikrer relevante digitale spor.