Retsudvalget 2020-21
REU Alm.del Bilag 359
Offentligt
Eksternt review af risikoen for
teknisk forvanskning af tekniske
bevismidler forbundet med øget
fortrolighed
Endelig afrapportering
Notat
9. april 2021
REU, Alm.del - 2020-21 - Bilag 359: Orientering om afslutning og endelig afrapportering på reviewet af opbevaring og behandling af tekniske efterforskningsmidler og beviser i politiets og anklagemyndighedens It-systemer, fra justitsministeren
2417977_0002.png
1 Formål, baggrund og scope for det eksterne review
Justitsministeren orienterede den 2. juli 2019 Folketingets Retsudvalg om, at der skulle
iværksættes et eksternt review af politiets indhentning, opbevaring og behandling af
tekniske bevismidler, herunder af de kontrolforanstaltninger som politiet og anklage-
myndigheden har etableret. Denne orientering blev fulgt op af et brev til Retsudvalget
af 4. oktober 2019, hvori der er beskrevet en række tiltag til opfølgning på teledata-
sagen, herunder iværksættelsen af et eksternt review af tekniske bevismidler.
Formålet med reviewet er at undersøge risikoen for at der sker teknisk forvanskning som
et led i håndteringen af tekniske bevismidler hos politiet og anklagemyndigheden,
herunder sikre at de fornødne kontrolforanstaltninger til at minimere sådanne risici er
etableret hos myndighederne med henblik på fremover at forhindre/forebygge teknisk
forvanskning af bevismidlerne. Reviewet skal dertil identificere eventuelle anbefalinger
til kvalitetsforbedrende tiltag.
Det eksterne review af tekniske bevismidler forbundet med øget fortrolighed er gen-
nemført af en ekstern konsulentvirksomhed i perioden oktober 2020 til marts 2021 og
omfatter en kortlægning og uvildig vurdering af risikoen for teknisk forvanskning i for-
bindelse med politiets indhentning, opbevaring og behandling af tekniske bevismidler
forbundet med øget fortrolighed. Dertil er overleveringen af bevismidlerne fra politiet
til anklagemyndigheden og de pågældende kontrolforanstaltninger hos hhv. politiet og
anklagemyndigheden blevet kortlagt.
Det eksterne review af tekniske bevismidler forbundet med øget fortrolighed har omfat-
tet følgende bevismidler:
Tabel 1: Oversigt over de omfattede bevismidler
Bevistype
1.
2.
Telekommunikation
Digital forensics
Omfattede tekniske bevismidler
Aflytning
Teleobservation
Bevismiddel 1
Bevismiddel 2
Bevismiddel 3
Bevismiddel 4, herunder
o
Bevismiddel 4a
o
Bevismiddel 4b
o
Bevismiddel 4c
o
Bevismiddel 4d
o
Bevismiddel 4e
Dette notat er udformet, så det ikke skal klassificeres, jf. sikkerhedscirkulærets bestem-
melser. Det betyder, at anvendte processer, it-systemer og konklusioner alene er beskre-
vet på et overordnet niveau.
Side 2 af 8
REU, Alm.del - 2020-21 - Bilag 359: Orientering om afslutning og endelig afrapportering på reviewet af opbevaring og behandling af tekniske efterforskningsmidler og beviser i politiets og anklagemyndighedens It-systemer, fra justitsministeren
2417977_0003.png
2 Konklusion
Det er på baggrund af det eksterne review af tekniske bevismidler forbundet med øget
fortrolighed vurderingen, at de undersøgte bevismidler håndteres på en måde af politiet
og anklagemyndigheden, der i overvejende grad vurderes at reducere risikoen for tek-
nisk forvanskning, og at bevismidlernes nødvendige karakteristika ikke utilsigtet æn-
dres som led i håndteringen.
Med teknisk forvanskning forstås en utilsigtet registrering og/eller forandring af digitale
data om bevismidlet, således at disse data ikke længere fuldt repræsenterer bevismidlets
oprindelige tilstand, og som betyder, at der i yderste konsekvens kan opstå usikkerhed i
forhold til anvendelsen af bevismidlet i en straffesag.
Vurderingen af risikoen for teknisk forvanskning er baseret på en fempunktsvurdering,
hvor der er foretaget en systematisk gennemgang af relevante processer, kontroller, it-
systemer, data og kompetencer til håndteringen af de omfattede bevismidler. Der er -
som et led i den gennemførte dataanalyse - ikke konstateret konkrete eksempler på tek-
nisk forvanskning af nogle af de omfattede bevismidler.
Det bemærkes, at der er taget afsæt i en gennemgang af de på tidspunktet for reviewets
gennemførelse gældende processer, kontroller og anvendte systemer til håndtering af de
pågældende bevismidler og endvidere taget beskik af kendte igangværende og planlagte
tiltag i politiet og anklagemyndigheden. Det betyder, at risikoen for teknisk forvansk-
ning kan ændre sig, såfremt der efterfølgende foretages ændringer i processer, kontroller
og særligt de systemer, der behandler bevismidlerne.
Der er for de undersøgte bevismidler,
jf. tabel 1,
tale om bevismidler af høj teknisk
kompleksitet, som tilmed er underlagt en høj teknologisk udviklingshastighed, hvorfor
afrapporteringen alene giver et øjebliksbillede af risikoen for teknisk forvanskning.
3 Oversigt over risikovurdering for de omfattede bevismidler
Det er samlet set vurderingen, at risikoen for teknisk forvanskning af de undersøgte
bevismidler ligger på henholdsvis niveauerne lav og middel,
jf. nedenstående tabel
1
.
Det har ikke på alle de omfattede bevismidler været muligt at lave en detaljeret gen-
nemgang af den systemmæssige databehandling af bevismidlerne, primært fordi der an-
vendes standardsystemer, hvor der ikke er adgang til gennemgå systemernes virkemåde
i detaljer.
1
Den anvendte risikovurderingsskala fremgår af metodeafsnittet sidst i dette notat
Side 3 af 8
REU, Alm.del - 2020-21 - Bilag 359: Orientering om afslutning og endelig afrapportering på reviewet af opbevaring og behandling af tekniske efterforskningsmidler og beviser i politiets og anklagemyndighedens It-systemer, fra justitsministeren
2417977_0004.png
Tabel 2: Oversigt over vurdering af risiko for teknisk forvanskning for de enkelte bevismidler
Teknisk bevismiddel
Vurdering af risiko for
teknisk forvanskning
Telekommunikation
Aflytning
Teleobservation
Lav til middel
Lav til middel
Digital forensics
Bevismiddel 1
Bevismiddel 2
Bevismiddel 3
Bevismiddel 4
-
-
-
-
-
Bevismiddel 4a
Bevismiddel 4b
Bevismiddel 4c
Bevismiddel 4d
Bevismiddel 4e
Lav til middel
Middel
Lav til middel
Lav til middel
Lav til middel
Lav til middel
Lav
Lav
3.1 Bevismidler afstedkommet af telekommunikation
Det vurderes på baggrund af det gennemførte review af tekniske bevismidler afsted-
kommet af telekommunikation, at der på tværs af aflytning og teleobservation er hen-
holdsvis veldefinerede processer med en lav grad af kompleksitet, høj grad af system-
understøttelse og videre en veldefineret arbejdsdeling mellem politikredsene og NC3,
hvilket vurderes at bidrage til at nedbringe risikoen for forvanskning. Kontrolforanstalt-
ningerne er mere ad hoc-prægede, fordi det er vanskeligt at kontrollere kvaliteten af data
fra start til slut, fordi dele af datahåndteringsprocessen er forankret hos tele- og inter-
netudbyderne.
Den primære databehandling hos politiet sker imidlertid i ét standardsystem, hvilket alt
andet lige nedbringer risikoen for forvanskning, dog med den udfordring, at politiet ikke
kan få detaljeret indblik i databehandlingsprocesserne inde i systemet, da dette af leve-
randøren betragtes som en forretningshemmelighed.
Risikoen for de forskellige analyserede aktiviteter, herunder aflytning af tale, internet
mv. og teleobservation, varierer:
Risikoen ses at være lavest for aflyttede samtaler, hvor det med relativ stor sik-
kerhed er muligt at verificere, hvilke parter, der fører en given samtale, hvad
indholdet af denne samtale er, og om der evt. er udfald (datatab) i samtalen.
Side 4 af 8
REU, Alm.del - 2020-21 - Bilag 359: Orientering om afslutning og endelig afrapportering på reviewet af opbevaring og behandling af tekniske efterforskningsmidler og beviser i politiets og anklagemyndighedens It-systemer, fra justitsministeren
Endvidere sker der kun i sjældne tilfælde efterbearbejdning af aflyttede samta-
ler
Risikoen ses at være højere for anvendelse af teleobservation og for de metadata
(eksempelvis tidspunkt for samtalen og geolokation for start- og slutmast for
samtalen), der indsamles i forbindelse med aflytning, fordi det ikke på samme
måde umiddelbart er mulighed at verificerede de indsamlede data. Samtidig er
anvendelsen af geolokationsdata fra teleudbyderne pr. definition forbundet med
en vis usikkerhed, der er iboende i den anvendte teknologi. Endelig sker der
typisk en efterbearbejdning af disse typer af data, hvilket vurderes at øge risi-
koen for teknisk forvanskning.
3.2 Bevismidler afstedkommet ved digital forensics metoder
Udgangspunktet for det gennemførte review af bevismidlerne afstedkommet ved
digital
forensics
er, at der på baggrund af områdets høje kompleksitet vurderes at være en ibo-
ende risiko for, at der kan ske fejlfortolkning af data, hvilket medvirker til en øget risi-
koprofil. Området er generelt kendetegnet ved:
Hurtig teknologisk udvikling, der stiller krav til
kontinuerlig opdatering af
standard-analyseværktøjer
og dermed
versionsstyring
pga. hyppige opdate-
ringer fra softwareleverandørernes side
Store, uoverskuelige datasæt og datatyper, der
ikke er intuitivt forståelige, og
derfor kræver særlige kompetencer at fortolke
Stor bredde
i typer af analyseværktøjer, analysemetoder og datatyper på grund
af det brede analyseområde.
Proceskompleksiteten vurderes generelt at være middelhøj, blandt andet fordi bevismid-
lerne og de sikrede data i en række tilfælde håndteres i et samspil mellem politikredsene
og NC3, hvilket betyder, at data flyttes frem og tilbage. For bevismiddel 4-datakilderne
ses der en større variation i proceskompleksiteten, hvilket også afspejles i risikovurde-
ringen, der for flere af datakilderne ligger på niveauet lav og lav til middel.
Der vurderes at være et tilstrækkeligt, om end meget manuelt, kontrolniveau for bevis-
midlerne afstedkommet ved digital forensics metoder. Særligt i politikredsene ses der
for visse områder et forbedringspotentiale. Dertil indgår i håndteringen af bevismidlerne
generelt et antal forskellige it-systemer
både i forhold til sags- og datahåndtering og
til selve analyserne af data. Analyserne af data indebærer særligt at fortolke data, der er
udlæst fra forskellige typer af enheder, og i at kunne søge og sammenstille relevante
oplysninger i nogle meget store datamængder. Standardanalyseværktøjerne og anven-
delsen af resultaterne fra samme er afgørende for vurderingen af risikoniveauet.
Risikoprofilen varierer på tværs af de omfattede tekniske bevismidler:
Risikoprofilen ses at være højest
middel
for data udlæst fra bevismiddel 2
blandt de omfattede bevismidler på digital forensics området. Dette skyldes, at
data udlæst fra bevismiddel 2 er teknisk kompliceret, hvortil håndteringen af
Side 5 af 8
REU, Alm.del - 2020-21 - Bilag 359: Orientering om afslutning og endelig afrapportering på reviewet af opbevaring og behandling af tekniske efterforskningsmidler og beviser i politiets og anklagemyndighedens It-systemer, fra justitsministeren
2417977_0006.png
data hovedsagligt sker decentralt i politikredsene, der generelt har færre tekni-
ske ressourcer til rådighed, hvilket efterlader et større ansvar hos de enkelte
efterforskere, der ikke nødvendigvis har de fornødne kompetencer til at forstå
faldgrupper mv. på området.
For de øvrige tre områder (bevismiddel 1, 3 og 4) ses risikoprofilen at ligge lidt
lavere (lav til middel).
4 Anbefalinger til håndtering af bevismidlerne
Der er identificeret henholdsvis tre anbefalinger til bevismidlerne afstedkommet ved
telekommunikation og tre anbefalinger til bevismidlerne afstedkommet ved digital fo-
rensics. Anbefalingerne vurderes at kunne reducere risikoen for teknisk forvanskning i
den nuværende behandlingstilgang,
jf. tabel 3.
Tabel 3: Oversigt over anbefalinger
Telekommunikation
Anbefaling 1:
Etablering af en fælles efterbehandlingsløsning for teleoplysninger m.m.
Der er på tværs af politikredse, efterforskningsfællesskaber m.m. konstateret et behov for at
kunne efterbehandle og sammenstille store datamængder, herunder historiske teleoplysninger,
metadata fra aflytning, teleobservationsdata mv. Efterbehandlingen har til formål dels at gøre
data mere anvendelige i selve efterforskningen (eksempelvis ved at fremsøge forbindelser
mellem personer på tværs af meget store datamængder), dels præsentere data, så de eksem-
pelvis kan anvendes som bevismiddel i retten.
Anbefaling 2:
”End to end kontrol” af data fra teleudbyderne
På nuværende tidspunkt gennemføres der ikke en systematisk
”end
to end
kontrol”
af data fra
teleudbyderne, hvor det kontrolleres, om data ser ud som forventet, når det udstilles for slut-
brugeren (efterforskere). Teledatasektionen gennemfører to daglige kontroller, men her er fo-
kus udelukkende på at sikre, at der modtages data i systemet fra alle teleudbydere, og ikke på
at kontrollere, om informationerne er, som de må forventes at være. Mangler i datakvaliteten
bliver således som udgangspunkt identificeret af slutbrugerne.
Anbefaling 3:
Øget kompetenceniveau i forhold til Aflytningssystemet og datafeltet
Henset til analysefeltets kompleksitet og Aflytningssystemets omfattende funktionalitet, vur-
deres der at være behov for at øge kompetencerne i forhold til Aflytningssystemet, først og
fremmest blandt efterforskerne i politikredsene mv., så de kan udnytte systemets fulde funk-
tionalitet og forstå de begrænsninger, der er i forhold til teleobservation.
Side 6 af 8
REU, Alm.del - 2020-21 - Bilag 359: Orientering om afslutning og endelig afrapportering på reviewet af opbevaring og behandling af tekniske efterforskningsmidler og beviser i politiets og anklagemyndighedens It-systemer, fra justitsministeren
2417977_0007.png
Digital forensics
Anbefaling 4:
Øget kompetenceniveau i politikredsene
Der er behov for at øge kompetencerne blandt efterforskerne uden for Teknisk Efterforskning
i politikredsene, så de kender de gængse usikkerheder ved digital forensic-analyser. Der bør
ligeledes være fokus på løbende udvikling af kompetenceniveauet blandt medarbejdere i en-
hederne for Teknisk Efterforskning i politikredsene og efterforskningsfællesskaberne, så de-
res kompetencer modsvarer den teknologiske udvikling.
Anbefaling 5:
Dokumentation af usikkerheder vedr. digital forensic-bevismidler
Der bør udformes en dokumentation af de usikkerheder, som er forbundet med brug af bevis-
midler afstedkommet ved digital forensics, herunder usikkerheder ved de benyttede analyse-
værktøjer og ved analysefeltet generelt. Dokumentationen kan ske pr. digital forensic bevis-
middel eller for hele analysefeltet, hvis dette vurderes mere hensigtsmæssigt.
Dokumentationen kan minimere risikoen for, at bevismidler indgår i straffesager, uden at der
tages de fornødne forbehold. Dokumentationen bør være et supplement til de eksisterende
erklæringer, som beskriver konkrete udfordringer ved gennemført datasikring og analyse.
Anbefaling 6:
Retningslinjer for verifikation af data fra digital forensic-analyser
Grundet de iboende usikkerheder ved bevismidler afstedkommet ved digital forensic skal po-
litiet i videst muligt omfang verificere resultaterne af de gennemførte analyser (fx ved dual
tool, sammenstilling med andre datakilder eller kontrol mod udlæst data), særligt hvis de skal
indgå i en straffesag. Det oplyses, at der som udgangspunkt sker en sådan verificering af re-
sultater hos NC3, men at der ikke er tilstrækkeligt fokus på verificering af resultater blandt
efterforskere i politikredsene. Det anbefales derfor, at der udarbejdes skriftlige retningslinjer
for, hvornår der bør ske verifikation af data, som videreformidles til efterforskerne, fx når
efterforskerne får udleveret data fra Teknisk Efterforskning i politikredsene.
Der er udover ovenstående anbefalinger endvidere formuleret et antal ”øvrige anbefa-
linger”, der vurderes at kunne styrke den nuværende behandlingstilgang af bevismid-
lerne afstedkommet ved telekommunikation og digital forensics, men som ikke vurderes
at have direkte betydning for at minimere risikoen for teknisk forvanskning.
Side 7 af 8
REU, Alm.del - 2020-21 - Bilag 359: Orientering om afslutning og endelig afrapportering på reviewet af opbevaring og behandling af tekniske efterforskningsmidler og beviser i politiets og anklagemyndighedens It-systemer, fra justitsministeren
2417977_0008.png
5 Risikovurderingsskala og den anvendte metode
Vurderingen af risikoen for teknisk forvanskning er foretaget med afsæt i en fempunkts-
vurdering, der vurderer processer, kontroller, it-systemer, data og kompetencer. Meto-
disk tages der udgangspunkt i en korrelationsbetragtning, hvormed de fem dimensioner
betragtes som potentielle årsager, der påvirker den samlede risiko for teknisk forvansk-
ning.
Risikoen for teknisk forvanskning er vurderet ud fra følgende skala:
Tabel 4: Risikovurderingsskala
Vurdering
Meget høj
Uddybende beskrivelse
Risikovurderingen
meget høj
betyder, at det vurderes, at der er ofte sker
systematiske fejl ifm. datahåndteringen af bevismidlet. Samtidig vurderes
det, at der er en meget høj risiko for enkeltstående, menneskelige fejl, og at
sådanne fejl forekommer.
Risikovurderingen
høj
betyder, at det vurderes, at der er sket systematiske
fejl ifm. datahåndteringen af bevismidlet. Samtidig vurderes det, at der er
en høj risiko for enkeltstående, menneskelige fejl, og at sådanne fejl fore-
kommer.
Risikovurderingen
middel
betyder, at det vurderes, at der er en risiko for, at
der vil opstå systematiske fejl ifm. datahåndteringen af bevismidlet. Samti-
dig vurderes det, at der er en øget risiko for enkeltstående, menneskelige
fejl, og at sådanne fejl forekommer.
Risikovurderingen
lav
betyder, at det vurderes, at det ikke er forventeligt, at
der vil opstå systematiske fejl ifm. datahåndteringen af. Samtidigt vurderes
det, at der er en vis risiko for enkeltstående, menneskelige fejl, men at så-
danne fejl vil være sjældne.
Risikovurderingen
meget lav
betyder, at det vurderes, at det ikke er forven-
teligt, at der vil opstå systematiske fejl ifm. datahåndteringen af bevismidlet.
Samtidigt vurderes det, at der er en lav risiko for enkeltstående, menneske-
lige fejl, men at sådanne fejl vil være meget sjældne.
Høj
Middel
Lav
Meget lav
De to faktorer, der vurderes i særlig grad at påvirke risikoen for teknisk forvanskning,
er sandsynligheden for systemiske it-fejl og for menneskelige fejl. I vurderingen af ri-
sikoen for teknisk forvanskning tages der således højde for omfanget og indholdet af
kontroller, der kan reducere sandsynligheden for at fejl opstår, samt risikoen ved de
potentielle fejlkilder, der gør sig gældende. Det bemærkes, at der med menneskelige fejl
i den forbindelse ikke forstås enkeltstående manuelle fejl, der altid vil være en tilstede-
værende risiko, men systematisk menneskelig fejlhåndtering, f.eks. grundet manglende
retningslinjer, kontroller, procedurer for fejlhåndtering og/eller en høj grad af proces-
kompleksitet uden understøttende foranstaltninger.
Side 8 af 8