|
Electronic Discovery
Electronic Discovery er den amerikanske betegnelse for
indsamling og undersøgelse af elektroniske dokumenter og
andet elektronisk bevismateriale i forbindelse med juridiske
tvister. It-bevissikring og it-undersøgelser kan f.eks. finde
sted ved mistanke om bedrageri, for at facilitere
bevisførelse imod en ansat
der har optrådt illoyalt imod sin virksomhed, eller for at
afdække en lang række andre former for misbrug foretaget i
en virksomhed eller organisation. Specialiseret electronic discovery foretages ofte af en
uvildig tredjepart, der indkaldes for at medvirke til at
afdække en sag, men kan også finde sted på foranledning af
en enkelt part i sagen. Man skal være opmærksom på, at it-undersøgelser af elektroniske dokumenter,
der foretages af jurister, eller andre personer, uden træning i electronic
discovery, potentielt kan medføre risiko for tab af
elektroniske spor.
I forbindelse med electronic discovery forstås
"elektroniske dokumenter" sædvanligvis som
alle former for data der er skabt eller opbevares på en
computer, på et computer netværk eller en anden form for
opbevarings medie. Termen dækker således over bl.a. e-mails og vedhæftede filer, memoer, rapporter, rene tekst
filer, regneark, digitale billeder og tegninger,
præsentationer og så videre. Elektronisk bevismateriale
dækker yderligere over en lang række forskellige
elektroniske spor, der kan indsamles fra elektroniske
dokumenter og it-systemer (se nedenfor).
Hvorfor er electronic discovery interessant for jurister?
Stadig flere virksomheder og organisationer er blevet
afhængige af deres it-systemer. Alt fra regnskabssystemer
til håndtering af forretningskritiske information og viden
opbevares og håndteres via it. Samtidig med it-systemerne er
blevet stadig mere kritiske, eksistere en stadig større del
af virksomheder og organisationers data og viden nu kun i
elektronisk form (i modsætning til i papir form). Nogle
undersøgelser har vist at over 90% af en virksomheds dokumenter skabes elektronisk, og at
en stadig større del af
dokumenterne aldrig bliver printet ud (Law Technology
News, 1999).
Hvis en jurist kun gennemgår dokumenter der er
tilgængelige i papir form vil man derfor kun sjældent kunne
opnå fuld indsigt i en sag. På samme måde
benyttes e-mail og andre former for elektronisk
kommunikation i stadig stigende grad i stedet for breve og
telefon samtaler. Disse efterlader ofte en mere eller mindre
permanent, og oftest kronologisk, forklaring på hændelser, der kan indsamles og
undersøges i forbindelse med bevissikring eller afdækning af
en sag.
 Det
betyder naturligvis at alle e-mails, dokumenter, regneark m.v. i en
virksomhed eller organisation kan være potentielt
bevismateriale. Electronic
discovery bruges således til at identificere, indsamle og
undersøge store data mængder fra mange forskellige kilder,
inklusive bærbare computere, Cd-rom'er, mobiltelefoner, telefonanlæg, backup, fil- og
mailservere osv. Data kan ofte være spredt på mange
forskellige computere, forskellige fysiske lokationer, og i
nogle tilfælde, mange forskellige lande. Typisk indsamles dokumenter i papirform samtidig med de elektroniske, og relevante dokumenter indscannes for at kunne indgå i den efterfølgende undersøgelse sammen med de elektroniske.
Udover den eksplosivt voksende brug af
bevissikring i forbindelse med krænkelser af
immaterialrettigheder m.v., har der indtil videre kun været få eksempler på
brug af electronic discovery i danske retssager. Artiklen fra
Jyllands Posten her på siden er et af de få eksempler jeg
kender til på nuværende tidspunkt, men der er ingen tvivl om
der også i Danmark vil ske yderligere eksplosiv vækst i brugen. Et
enkelt eksempel, af efterhånden mange, fra udlandet er Merrill Lynch, der i 2002
blev dømt til at betale 150 millioner dollars i erstatning, fordi electronic discovery afslørede, at aktieanalytikere havde anbefalet aktier,
selvom de i interne e-mails talte negativt om de samme aktier.
Hvornår er computer forensics en del af electronic
discovery?
Electronic discovery er ikke det samme som hverken computer
forensics eller incident response, men computer forensics teknikker og principper er
ofte et vigtigt underområde i electronic discovery
processen, specielt indenfor data indsamling.
Nogle grundelementer er altid fælles for
computer forensics og electronic discovery, f.eks. brug af
chain of custody procedurer, og der vil være tilfælde hvor
både computer forensics og electronic discovery kan være
nødvendigt for at opnå et bredere kendskab til data.
Computer forensics bliver dog specielt brugt indenfor
electronic discovery når indsamling af slettede, skjulte
eller krypterede filer er vigtig for en sag. Ligeledes kan
forensics være vigtig, hvis f.eks. tidspunktet en fil er
oprettet, ændret eller læst er potentiel vigtig
bevismateriale i en sag.
Hvis det indsamles og bruges rigtigt, er der betydeligt flere
informationer i elektroniske dokumenter end i papir
dokumenter. Elektroniske dokumenter kan f.eks., i modsætning
til dokumenter på papir, ofte vise hvem der står som
oprindelig forfatter af et dokument, hvornår et dokument er
oprettet, sidst editeret, kopieret m.v. I nogle tilfælde
viser elektroniske dokumenter også hvilke ændringer der er
foretaget i dokumentet. Denne type information ("metadata",
dvs. "data om data") kan ofte, sammen med de elektroniske dokumenter
som metadata'en stammer fra, være med til at afdække hvem der vidste hvad, og hvornår de vidste det.
Metadata indsamles og analyseres vha. teknikker fra computer
forensics verdenen.
Computer forensics udføres typisk på et begrænset antal
servere, hvorimod electronic discovery ofte udføres fra en
lang række harddiske og andre former for opbevaringsmedier.
Data analyse og visualisering
I forensics data analyse indsamles og opbevares store mængder data for efterfølgende analyse. Formålet med data analysen er at finde "nålen i høstakken" (hvis den findes), dvs. at afsløre relevant information, der er skjult mellem store mængder urelevant data. Man forsøger i løbet af data analysen at afsløre skjulte mønstre og ukendte forbindelser indenfor grupper af data vha. søgninger og data mining. I nogle former for electronic discovery gives der adgang til at læse og søge i (dele af) den indsamlede data for begge parter i sagen, i nogle tilfælde over Internettet. I andre tilfælde udføres hele undersøgelsen af den uvildige tredjepart.
Udover søgninger på nøgleord, forbindelser m.m. inddeles data analyse typisk i fire hovedtyper:
- Fund af mønstre og hændelsesforløb ("a og b og derefter c")
- Kategorisering ("x, y og z giver samlet en transaktion").
- Afvigelser ("høje/lave, større/mindre end, afvigende datoer eller tider, mønstre")
- Påvirkninger ("disse forskellige måder at vise data burde beskrive det samme, gør de det?")
Der kan bruges specialiserede programmer til grafisk analyse/visualisering for at organisere og tolke den indsamlede data, og derved gøre det muligt at udtrække bevismateriale fra meget store og meget komplekse datasæt. Visualiseringer hvor objekter som personer, banknumre, virksomheder osv grafisk kædes sammen med brug af farver, fotos, dokumenter, video osv. kan hjælpe med at organisere, identificere og tolke hvad der er kendt og hvad der skal undersøges nærmere.
Fremtiden
Tre generelle forudsigelser i forbindelse med electronic
discovery:
1) Der vil blive eksplosiv vækst i brugen
electronic discovery i takt med jurister bliver opmærksomme på
mulighederne. Indenfor en overskuelig fremtid vil electronic
discovery være reglen, og undersøgelser hvor der kun
undersøges data tilgængeligt på papir, være undtagelsen.
2) Validiteten af digitalt bevismateriale
vil blive draget i tvivl, når jurister bliver mere opmærksom på
mulighederne for fejltagelser under indsamlingen af elektronisk
data. Det betyder, at specialister og faste procedurer for
indsamling af digitalt bevismateriale bliver endnu vigtigere
end i dag.
3) Antallet af forbrydelser hvor der benyttes IT vil
stige jo flere sager der omtales i pressen. Flere sager
vil blive omtalt i pressen når electronic discovery benyttes af
jurister. Sarbanes-Oxley m.m.
En række internationale standarder og love indeholder
krav om incident response/computer forensics procedurer.
Den amerikanske Sarbanes-Oxley (SOX) lov kræver f.eks. i sektion
302, at en tilstrækkelig intern kontrol struktur
skal inkludere "controls related to the prevention,
identification and detection of fraud." Da hovedparten
af en virksomheds information nu kun findes i elektronisk
form, bliver indsamling og analyse af elektronisk data den
primære proces for interne undersøgelser i en virksomhed.
Det betyder at virksomheder må være i stand til at indsamle,
undersøge og bevare elektronisk data i forbindelse med
undersøgelser af f.eks. besvigelser og bedrageri.
Sarbanes-Oxleys krav til undersøgelser af interne
anmeldelser ("whistleblower provisions") kan også betyde at
en virksomhed bliver nødt til at foretage undersøgelser af
elektronisk data.
Se f.eks. computer forensics virksomheden Encase for en mere
detaljeret diskussion af SOX og undersøgelser af
elektronisk data. ISO 17799,
den internationale standard for IT-sikkerhed, har
forskrifter for bl.a. indsamling og håndtering af
bevismateriale i sektion 12.1.7. |