Annonser

Digitala bevis allt viktigare

Digitala bevis, i form av datafiler, e-postkonversationer eller mobiltelefontrafik, blir allt vanligare i rätten. I många fall kan de digitala bevisen spela en avgörande roll. Poliser och åklagare utbildar sig ständigt, och nu riskerar advokaterna att hamna på efterkälken.

När Amnestys tidigare ordförande Jesús Alcalá fälldes för bedrägeri år 2002 utgjorde e-post i hans dator en viktig del av bevisningen. När utredningen mot Amnestyordföranden tog sin början kopierade SKL innehållet i Alcalás dator. Med hjälp av kopian kunde man senare visa att den e-postväxling som Alcalá åberopade inte funnits där från början. I det uppmärksammade Knutbymålet spelade borttagna och återskapade textmeddelanden till en mobiltelefon en viktig roll som bevisning, och den så kallade Alexandramannen kunde fällas bland annat med hjälp av loggar över msn-konversationer.

Men det är inte bara i brottmål som de digitala bevisen kan ha betydelse. I januari i år rapporterade tidskriften Lag och avtal att digitala bevis som e-postmeddelanden och inspelningar också får allt större betydelse i Arbetsdomstolen.

Från mord till bedrägeri
Digitala bevis definieras som information eller data som lagras i eller förmedlas av en elektronisk utrustning. Det handlar om datorer, men också om en rad andra apparater som innehåller information i elektronisk form.

Teknikutvecklingen har drastiskt förändrat synen på kopplingen mellan datorer och brott. För bara tio-femton år sedan kunde man tala om databrott som en särskild brottskategori, med bland annat brott mot datalagen som en viktig del. I dag är datorer och elektronik en självklar del i de flesta människors vardag, och även i brottslingarnas verksamhet.

– Alla använder IT, och nästan alla har en dator. Våra ärenden rör därför väldigt många olika typer av brott, allt från mord till bedrägeri, säger Johan Hultman, gruppchef för datagruppen vid Statens kriminaltekniska laboratorium, SKL, i Linköping.

Han exemplifierar med ett misstänkt narkotikabrott där SKL:s undersökning fick stor betydelse som bevis. Posten hade hittat ett paket som visade sig innehålla narkotika. Frågan var vem mottagaren var.

– Det fanns en misstänkt person och polisen tog den personens dator i beslag. Vi gjorde en undersökning, och lyckades i den datorn hitta en koppling, att någon varit inne på just den datorn och gjort en sökning på det    paketnumret, säger han.

Komplicerade ärenden
På SKL arbetar i dag tio personer i datagruppen med att undersöka datorer, hårddiskar och olika typer av elektronik. Det är en liten del av den totala mängden undersökningar: huvuddelen genomförs ute på de olika polismyndigheterna i landet. Tanken är att SKL ska ta de mest komplicerade ärendena som även kräver metodutveckling.

Under 2009 kom ungefär 150 ärenden in till SKL:s datagrupp från polisen. En del av uppdragen handlar om datorer som tagits i beslag eller data som kopierats från en misstänkt eller ett brottsoffer. I vissa fall har den misstänkte förstört datorn rent fysiskt,

ibland har man raderat information som kan utgöra bevis för brottslig verksamhet, eller dolt den med hjälp av kryptering. SKL:s forensiker kan i dag återskapa och rädda mycket information som tycks vara borta.

Förutom datorer arbetar SKL:s datagrupp också med olika typer av elektronik. Den största delen på elektro-niksidan är i dag så kallad skimnings-

utrustning, som används för att olovligt kopiera information från betalkort, exempelvis på uttagsautomater eller betalterminaler i butiker. Forensikerna undersöker utrustningen för att se om den kan ha använts för just skimning.

– Kanske finns det också information i utrustningen som visar att man faktiskt genomfört brottet. Det är ju olika straffskalor beroende på om det är genomfört eller inte. Så det vill polisen ofta ha svar på, säger Johan Hultman.

Andra exempel på elektronik är störsändare som används vid rån eller för att störa ut kommunikation, förfalskade bilnycklar och sändare som kan användas för att störa ut elektroniska lås på bilar.

– Vi har också börjat bygga upp verksamhet kring mobiltelefoner. Vår målsättning är att vi ska ta de mer avancerade fallen som man i dag inte hanterar i Sverige, berättar Johan Hultman.

Många av polismyndigheterna har redan god kompetens på mobilområdet. SKL:s planer är att i framtiden kunna hjälpa till med att restaurera data från telefoner som exempelvis brunnit. I dag tvingas polisen ofta utnyttja internationella kontakter i dessa fall. Enligt Johan Hultman är bland annat den norska kriminalpolisen skicklig just på att säkra bevis från mobiltelefoner.

200 ton papper
Säkringen av digitala bevis börjar ofta med en husrannsakan och ett beslag.

– Elektroniken eller datorn hanteras först av förste man på plats, sedan av en IT-undersökare inom polisen, och, om det sedan krävs, kan de gå vidare antingen till Rikskriminalpolisen eller till oss eller Säpo, beroende på vad det är. Sedan beror det också lite på vad man har för resurser i respektive polismyndighet hur mycket man skickar till oss, konstaterar Johan Hultman.

Polisen har i dag egna rutiner för husrannsakan i IT-miljö för att säkerställa att man inte förstör data. Att till exempel stänga av ett datasystem kan göra att information går förlorad. Dessutom måste polisen göra en proportionalitetsbedömning; är de brott man misstänker så allvarliga att det kan motivera att man beslagtar utrustning som kan vara väsentlig för exempelvis ett företags verksamhet? Ibland tvingas polisen kopiera alla data på platsen för beslaget, för säkerhets skull eller för att det inte är motiverat med ett beslag. I annat fall kopieras materialet senare, av IT-undersökaren eller SKL:s forensiker. Själva undersökningarna görs alltid på en avbildning av data, inte på originalet.

Efter kopieringen måste materialet sökas igenom och sorteras. Med dagens teknik fungerar det nämligen knappast att bara skriva ut allt och sedan gå igenom det. En vanlig hemdator med 80 gigabytes lagringsutrymme kan spara upp till 40 miljoner A4-sidor text. Utskrivet blir det 200 ton papper, och utskriften skulle på en vanlig laserskrivare ta åtta år.

Sorteringen är ett område där SKL varit med om att ta fram verktyg, som både de egna forensikerna och polismyndigheterna nu använder. Beroende på vad man söker kan olika metoder användas för att sortera materialet, så att man exempelvis får fram bilder eller andra filtyper.

Sannolikhetsbedömning
När polisen begär hjälp av SKL har de som regel en konkret frågeställning eller hypotes kring vad materialet innehåller eller vad elektroniken använts till. Utifrån den frågeställningen går Datagruppens personal igenom det inkomna materialet. De gör därefter en bedömning av frågeställningen. Svaret levereras i form av en sannolikhetsbedömning, som ges efter en skala från +4 till –4. +4 innebär att materialet talar mycket starkt för att polisens hypotes stämmer. –4 innebär tvärtom att det talar starkt mot polisens teori.

– Vi säger nästan aldrig att det är på ena eller andra viset. Det kan alltid finnas undantag som man inte vet om. Då kan man inte vara så kategorisk, fastslår Johan Hultman.

Han värjer sig mot att tala om datagruppens analyser som något som fäller eller friar en misstänkt. I de flesta ärenden som i dag genomförs kan man inte avgöra vem som begått brottet. Då blir forensikernas uppgift att bedöma om en elektronisk apparat eller dator använts på ett visst sätt.

– Det är en stor skillnad mellan att göra en resultatvärdering och en bevisvärdering. Vi gör en resultatvärdering utifrån den frågeställning vi fått. Bevisvärderingen gör domstolen, säger han.

Snabbt men rätt
Datorer och andra typer av elektronik som tas i beslag lämnas tillbaka eller förverkas, som alla beslag. Men information som kopieras sparas på SKL eller den myndighet som tagit hand om den. Arkiveringsskyldigheten löper i fem år, därefter får man gallra i materialet.

Ärenden som förväntas kunna bli aktuella igen gallras inte. Och även med gallring blir det snabbt enorma mängder data att arkivera, med tanke på hur mycket information en vanlig dator rymmer i dag.

– Det här är ett av våra stora problem. Rent tekniskt behöver vi stora system för att lagra det, och det behövs också mycket för att kunna gå igenom och analysera det. Det är en av stötestenarna. Det kostar en slant att ha den här utrustningen, säger Johan Hultman, som tillägger att SKL ändå är lyckligt lottade jämfört med de olika polismyndigheterna, som har mycket mindre resurser för att lagra informationen rationellt.

Ett återkommande tema i kriminalromaner och teveserier är att polisen tycker att SKL arbetar alltför långsamt. Johan Hultman suckar lite när detta kommer på tal.

– Vi får ju brottas med det ryktet. Kanske det ligger något i det, att SKL har tagit lång tid på sig. Men det är det något vi jobbar väldigt mycket med. Vi har fokus på att vi ska leverera till våra uppdragsgivare, kanske inte så snabbt som möjligt, men i rätt tid. Det är ju det som är det viktiga. Alla ärenden behöver inte gå lika snabbt, säger han.

Dessutom finns det en gräns för hur snabbt man kan arbeta, och samtidigt behålla kvaliteten i arbetet.

– I slutänden kan människor fällas eller frias på grund av våra bedömningar. Då måste man kunna stå för resultaten. Därför arbetar vi väldigt mycket med kvalitet och säkerhet i det vi gör, betonar Johan Hultman.

I dag är nästan hela SKL:s verksamhet ackrediterad av Swedac. Undantaget är just IT-verksamheten. Förhoppningen är att den ska få sin ackreditering, och därmed en kvalitetsstämpel på arbetet, under våren eller hösten i år.

Marknadsför sig inte
SKL är en fristående myndighet under Rikspolisstyrelsen. Man delar entré och reception med polismyndigheten i Östergötlands län och Åklagarmyndigheten.

Närheten till polis och åklagare har klara fördelar, anser Johan Hultman, inte minst för att den uppmuntrar till dialog mellan uppdragsgivarna och SKL som utför undersökningarna. Den goda kontakten och fortgående dialogen kan leda fram till bättre resultat i undersökningar, när SKL får mer bakgrundsinformation i ärendena. Omvänt kan forensikerna bidra med sin erfarenhet i utredningarna, och föreslå ytterligare undersökningar i de ärenden som hanteras.

Samtidigt är SKL:s fristående ställning viktig för trovärdigheten i myndighetens bedömningar, anser Johan Hultman.

– För oss är det väldigt viktigt att vi inte är kopplade på något sätt, utan att vi är objektiva. Det är ju lika viktigt att frikänna någon som att fälla, säger han.

En viktig del i SKL:s uppdrag är att ta fram och föra ut metoder för olika typer av forensiska undersökningar till polismyndigheterna. Det gör man bland annat genom utbildningar för poliser och åklagare på olika områden.

Som fristående myndighet har SKL också möjlighet att, mot ersättning, ta emot uppdrag från andra än polisen och övriga myndigheter i rättsväsendet. På IT-området är det dock ovanligt med privata uppdrag.

– Vi marknadsför oss inte. Det är inte vårt huvudsyfte att göra privata undersökningar, även om vi har möjlighet att göra det. Men det får man ställa mot vad vi har för andra uppdrag och hur mycket resurser vi har. Just nu är vi fullbelagda, säger Johan Hultman, och tillägger att det finns flera privata företag som utför IT-undersökningar.

Händer det då att advokater ringer för att få veta mer om en undersökning eller beställa en egen utredning?

Sällan, svarar Johan Hultman. Under sitt halvår som chef har han bara haft kontakt med en advokat, som hade frågor i ett civilmål.

Johan Hultman tror att advokater kan vinna på att lära mer om digitala bevis och om de metoder som finns på området. Och i konkreta fall kan också advokater vända sig till SKL för att få veta mer om de undersökningar de gjort.

– Har man frågor svarar vi naturligtvis på dem, säger han.


SKL och digitala bevis
Statens kriminaltekniska laboratorium, SKL, är en fristående myndighet under Rikspolisstyrelsen. SKL leds av en laboratoriechef.

SKL:s undersökningar genomförs vid fyra olika enheter:

  • Biologienheten (arbetar i huvudsak med DNA-undersökningar)
  • Droganalysenheten (undersöker bland annat narkotika och dopingpreparat)
  • Kemi- och teknikenheten (sköter den ”klassiska kriminaltekniken” med undersökningar av skospår, fingeravtryck, vapen etcetera).
  • Dokument- och informationsteknikenheten

Dokumentations- och informationstekniken-heten består i sin i sin tur av tre grupper:

  • Dokumentanalysgruppen, som arbetar med misstankar om förfalskning av bland annat sedlar, pass och körkort.
  • Bild- och ljudgruppen som genomför undersökningar av bild och ljud, till exempel restaureringar av bilder eller filer som är trasiga och bildjämförelser från till exempel övervakningskameror. 
  • Datagruppen

Dokumentations- och informationsteknikenheten hanterade under 2009 totalt 2 426 ärenden. 158 av dem rörde digitala bevis. Huvuduppgiften för SKL:s datagrupp är dock att utveckla och föra ut metoder och verktyg som kan användas av polismyndigheterna själva. I dag arbetar tio personer på datagruppen. De tio personerna vid SKL:s datagrupp har olika bakgrunder. De flesta har en teknisk utbildning. Innan de får titulera sig forensiker genomgår de alla ett tvåårigt utbildningsprogram vid myndigheten.

Även Rikskriminalen och Säkerhetspolisen har egna avdelningar för data- och elektronikundersökningar.

Källor:
Gunnars, Lena: Fler fälls i AD med digitala bevis, Lag & Avtal, 24 februari 2011
Kronqvist, Stefan: Brott och digitala bevis. En handledning, Andra upplagen, Norstedts juridik 2007. SKL:s årsberättelse 2009.