POLITIET I DET DIGITALE SAMFUNNET

UTRYKNINGSPOLITIET POLITIETS DATA- OG MATERIELLTJENESTE ØKOKRIM POLITIET I DET DIGITALE SAMFUNNET En arbeidsgrupperapport om: ELEKTRONISKE SPOR, IKT-KRIMINALITET OG POLITIARBEID PÅ INTERNETT

Til Politidirektoratet Politidirektoratet opprettet i samråd med riksadvokaten i april 2011 en arbeidsgruppe for å kartlegge politiets arbeid med IKT-kriminalitet, elektroniske spor og politioppgaver på nett og vurdere hvordan det skal arbeides med disse områdene fremover. Arbeidsgruppen redegjør for status i politidistriktene og særorgan og gir anbefalinger om hvordan politiet kan arbeide med elektroniske spor, IKT-kriminalitet og politioppgaver på nett. Oslo, 10. juli 2012 Bente Storruste og Torgeir Magnussen ledere Berit Børset Anne Cathrine Ingulstad Aga Steffen E. Thorkildsen Trond Austad Ole Johan Brett Eirik Trønnes Hansen Forsidebilde: Kripos, Gruppe for foto og video 2

3

1 INNLEDNING... 6 1.1 Sammendrag... 6 1.2 Bakgrunnen for rapporten, mandatet og arbeidsgruppen... 6 1.3 Avgrensninger... 6 1.4 Gruppens arbeid... 7 1.5 Begrepsavklaringer... 7 2 UTVIKLINGEN I TEKNOLOGIEN OG DATAKRIMINALITET... 9 2.1 Utvikling av teknologi, tjenester og bruken av Internett... 9 2.1.1 Kriminelles bruk av Internett... 9 2.2 Elektroniske spor... 10 2.3 IKT-kriminalitet... 10 2.3.1 Kriminalitet mot data og datasystemer... 10 2.3.2 Kriminalitet ved bruk av datasystemer... 11 2.3.3 Verktøy... 12 3 POLITIETS ARBEID MED ELEKTRONISKE SPOR, MOT IKT-KRIMINALITET OG PÅ INTERNETT I DAG... 12 3.1 Innledning... 12 3.2 Politiets arbeid med elektroniske spor... 12 3.2.1 Innledning... 12 3.2.2 Hva gjør politiet med elektroniske spor?... 12 3.2.3 Hvem foretar datatekniske undersøkelser?... 13 3.2.4 Hvordan arbeider politiet med elektroniske spor?... 14 3.3 Politiets bekjempelse av IKT-kriminalitet... 15 3.3.1 Hva gjør politiet med IKT-kriminaliteten?... 15 3.3.2 Hvem løser disse sakene?... 15 3.3.3 Hvordan arbeider politiet med IKT-kriminalitet?... 16 3.4 Politiarbeid på Internett... 16 3.4.1 Innledning... 16 3.4.2 Hva gjør politiet på Internett?... 16 3.4.3 Hvem utfører politiarbeid på Internett?... 17 3.4.4 Hvordan jobbes det på Internett?... 17 3.5 Dagens organisering, bemanning og kompetanse... 17 3.6 Internasjonalt samarbeid... 19 4 ARBEIDSGRUPPEN OM VEIEN VIDERE... 20 4.1 Innledning... 20 4.2 Hvordan politiet kan utnytte elektroniske spor... 20 4.2.1 Datatekniske undersøkelser i politidistriktene... 20 4.2.2 Forholdet mellom politidistriktene og Kripos... 21 4.3 Hvordan politiet kan bekjempe IKT-kriminaliteten... 22 4.3.1 Innledning... 22 4.3.2 Hvor skal IKT-kriminalitet etterforskes?... 22 4.3.3 Etterretning, trusselvurderinger og kunnskapsbank... 23 4.4 Hvordan politiet kan arbeide på Internett... 23 4.4.1 Innledning... 23 4.4.2 Én tipstjeneste til forebygging og bekjempelse av all kriminalitet... 23 4

4.4.3 Politiarbeid på Internett... 24 4.5 Satsing og forebygging... 25 4.5.1 Hvilket ambisjonsnivå bør politiet ha for etterforskning av IKT-kriminalitet og arbeid på Internett?... 25 4.5.2 Forebygging av IKT-kriminalitet og kriminalitet på Internett... 25 4.6 Kompetanse og utstyr... 26 4.6.1 Kompetanse... 26 4.6.2 Utstyr... 27 4.7 Måling, rapportering og videre utredninger... 28 4.8 Beredskap og etterforskningsberedskap... 28 5

1 Innledning 1.1 Sammendrag Datateknologi tas i bruk i stadig økende grad, også av kriminelle. Virksomhet flyttes til den digitale verden, det samme gjør kriminaliteten. Tradisjonelle spor erstattes av elektroniske spor. Bruken av datateknologi gir også flere spor enn tidligere. Dette gir nye utfordringer og nye muligheter for politiet. Arbeidsgruppen har intervjuet politidistrikter og særorgan og fant at etterspørselen etter datatekniske undersøkelser er økende. Politiet arbeider på Internett, men tilstedeværelsen er ennå ikke god nok. Mørketallsundersøkelser viser at IKT-kriminalitet i liten grad anmeldes. Av de sakene som blir anmeldt, blir mange henlagt. Datatekniske undersøkelser kan oppklare flere straffesaker, styrke rettssikkerheten og gjøre politiarbeidet mer effektivt. Politiet bør ha kapasitet og kompetanse til å imøtegå nye trusler og ny kriminalitet. Tydeligere tilstedeværelse på Internett vil kunne bidra til oppklaring og forebygging av kriminalitet. Nasjonalt og internasjonalt samarbeid er avgjørende for forebygging og bekjempelse av IKT-kriminalitet. 1.2 Bakgrunnen for rapporten, mandatet og arbeidsgruppen Arbeidsgruppen ble nedsatt av Politidirektoratet i samråd med riksadvokaten som følge av økt behov for sikring og analyse av elektroniske spor, fordi IKT-kriminalitet utgjør en stadig større trussel og med bakgrunn i et ønske om større politinærvær på Internett. Det er behov for å se på arbeidsfordelingen mellom politidistriktene og særorganene og hvilken kompetanse som er nødvendig for å løse oppgavene. Denne rapporten omhandler hvordan politiet mer effektivt kan utnytte elektroniske spor, bekjempe IKT-kriminalitet og utføre politiarbeid på Internett. For å kunne si noe om dette, er det nødvendig redegjøre kort for den teknologiske utviklingen og bruken av Internett, beskrive hva elektroniske spor er og forekomsten av slike spor og si noe om utviklingen av IKTkriminalitet (kapittel 2). Deretter vil vi beskrive hvordan politiet arbeider med disse områdene i dag (kapittel 3). Til slutt ser vi på hvordan politiet kan utnytte elektroniske spor, bekjempe IKT-kriminalitet og utføre politiarbeid på Internett fremover (kapittel 4). Arbeidsgruppen har hatt følgende sammensetning: politiinspektør Torgeir Magnussen, Politidirektoratet politiinspektør Bente Storruste, Politidirektoratet politiadvokat Anne Cathrine Ingulstad Aga, Oslo politidistrikt, representant for påtalemyndigheten fagleder Trond Austad, Datakrimenheten, Oslo politidistrikt leder økoteamet Ole Johan Brett, Søndre Buskerud politidistrikt seksjonssjef Berit Børset, Seksjon for datakrimetterforsking, Kripos spesialetterforsker Steffen E. Thorkildsen, Seksjon for elektroniske spor, Kripos politiadvokat Eirik Trønnes Hansen, Kripos (sekretær) Tidligere medlemmer av arbeidsgruppen: seksjonssjef Øyvind Berge, Kripos (permisjon) og politiinspektør Tom Erik Guttulsrød, Østfold politidistrikt (ny stilling). Arbeidsgruppen har fått noe bistand fra politiinspektør Jarl Martin Pedersen i Politidirektoratet. Videre har arbeidsgruppen fått bistand med analyse av intervjuundersøkelsen fra seniorrådgiver Marte Lund. Arbeidsgruppens mandat ligger vedlagt. 1.3 Avgrensninger Arbeidsgruppen fikk et omfattende mandat. Med bakgrunn i den tiden gruppen har hatt til rådighet, gruppens sammensetning og hendelsene 22.7. har gruppen avgrenset mandatet noe. Politiets sikkerhetstjeneste, Nasjonal sikkerhetsmyndighet, Direktoratet for samfunnssikkerhet og beredskap, Forsvaret, NorSIS, Datatilsynet, Finanstilsynet, Post- og Teletilsynet, Norid, næringslivet og andre aktører arbeider med ulike aspekter av datasikkerhet. Gruppen har ikke drøftet nærmere grenseoppgang mellom oppgavene til ulike offentlige og private aktører. 6

De forslag som fremmes av gruppen krever ikke nye hjemler eller avklaringer, verken i forhold i straffeprosessloven, påtaleinstruksen, politiregisterloven eller personopplysningsloven. Arbeidsgruppen mener likevel at det kan være formålstjenlig at riksadvokaten og Politidirektoratet ser nærmere på gjeldende retningslinjer, for å sikre at rundskriv og instrukser er oppdaterte og dekkende i forhold til de områdene som omtales i denne rapporten. Utover dette behandles ikke behov for endringer i lover og annet regelverk som berører politiet og påtalemyndigheten. I henhold til mandatet skal arbeidsgruppen se nærmere på politiets oppgaver og nærvær på Internett, avgrenset mot politiets informasjonstjenester og forvaltningsoppgaver. Vi vil ikke gå nærmere inn på anmeldelser på nett, da dette faller utenfor mandatet. 1.4 Gruppens arbeid Arbeidsgruppen har intervjuet representanter fra syv politidistrikter og hatt møte med Kripos, ØKOKRIM, Politiets sikkerhetstjeneste (PST) og Politihøgskolen. Distriktene ble valgt ut fra geografi og størrelse og utgjør, etter arbeidsgruppens oppfatning, et representativt utvalg av norske politidistrikter. Politidistriktene ble bedt om å redegjøre for hvordan de arbeider med elektroniske spor, IKTkriminalitet og politioppgaver på Internett. De av arbeidsgruppens medlemmer som gjennomførte intervjuene stilte spørsmål basert på et detaljert spørreskjema. Det ble skrevet referat som distriktene deretter gjennomgikk. Resultatene ble samlet og analysert, slik at arbeidsgruppen mener den har et godt bilde av hva som gjøres i de intervjuede politidistriktene innenfor disse områdene og hvordan arbeidet utføres. Intervjuene er ikke direkte gjengitt i rapporten, men er lagt til grunn for gruppens arbeid. Der rapporten beskriver synspunkter fra politidistrikter og særorganer, er dette basert på denne intervjuundersøkelsen. Arbeidsgruppen har hatt 24 møter. 1.5 Begrepsavklaringer Mandatet omtaler politioppgaver på nett. Arbeidsgruppen har kommet til at politiarbeid er et mer dekkende begrep. Mandatet omhandler elektroniske spor. Elektroniske spor er elektronisk informasjon som er relevant for politiet. Dette kan være data som knytter seg til en hendelse, for eksempel tidspunktet for sending av en e-post, avsenderens og mottakerens IP-adresse med videre, eller innholdsdata, for eksempel teksten i en e-post. Datatekniske undersøkelser benyttes om de tekniske operasjoner som er nødvendig for å innhente og analysere elektroniske spor. Politiet kan imidlertid også innhente og benytte elektroniske spor uten særskilte datatekniske undersøkelser. Innhenting av informasjon fra åpne nettsider er et eksempel på dette. I dette arbeidet foretas politifaglige vurderinger for hvordan åpen informasjon kan identifiseres og innhentes, og også politifaglige vurderinger av bevissikring. Disse aspektene faller imidlertid utenfor begrepet datatekniske undersøkelser. Det finnes i dag ingen entydig definisjon av kriminalitet begått mot eller med datasystemer. Begrepene datakriminalitet, IKTkriminalitet, computer crime og cyber crime benyttes delvis om hverandre. Datakrimutvalget beskrev begrepet datakriminalitet slik: (Fra Datakrimutvalgets utredning NOU 2007:2, pkt. 4.1.1): Etter en alminnelig forståelse omfatter uttrykket «datakriminalitet» både kriminalitet som er rettet mot data og datasystemer, og kriminalitet hvor datautstyr benyttes som verktøy for å begå handlingen. Utvalget har ikke sett behov for å gi uttrykket «datakriminalitet» en rettslig definisjon. Mandatet sett under ett oppfattes som et oppdrag om å gi regler om kriminalitet som har sammenheng med bruk og utnyttelse av datateknologi (IKT). Begrepet datakriminalitet er hensiktsmessig for å indikere hva lovforslaget gjelder. Denne definisjonen sammenfaller etter arbeidsgruppens oppfatning med begrepet IKTkriminalitet som blant annet benyttes i påtaleinstruksen, og vi vil i denne rapporten benytte begrepet IKT-kriminalitet. I dagligtale er nok imidlertid datakriminalitet mer vanlig. I denne rapporten omfatter IKT-kriminalitet to typetilfeller: a) Kriminalitet rettet mot datasystemer og/eller datanettverk, for eksempel datainnbrudd og tjenestenektangrep. 1 1 Jf ny straffelov 206 (fare for driftshindring) og Ot.prp nr. 22 (2008-2009) pkt. 16.2 7

b) Kriminalitet hvor sentrale elementer av handlingsforløpet begås ved hjelp av datautstyr og/eller datanettverk. Dette vil i mange tilfeller være tradisjonell kriminalitet, men den endrer karakter, omfang og effekt på grunn av ny teknologi, 2 for eksempel trusler, bedragerier og spredning av overgrepsbilder. De to definisjonene ovenfor er ikke skarpt adskilt. Hensikten med å begå et datainnbrudd vil ofte være å skaffe seg tilgang til informasjon som senere kan brukes til å begå tradisjonell kriminalitet. Denne definisjonen av IKT-kriminalitet (både litra a og b) samsvarer med beskrivelsen av cyber crime i den britiske regjeringens Cyber Crime Strategy (2010), 3 og sammenfaller med de særskilte artiklene om hvilke kategorier lovbrudd som omfattes av Europarådets Convention on Cyber Crime (Budapestkonvensjonen) 4. Begrepet cyber crime er imidlertid ikke definert i konvensjonen. Relasjonen mellom de ulike begrepene innenfor temaet IKT-kriminalitet, elektroniske spor og politiet på nett kan illustreres med dette diagrammet. Begrepet dataetterforsker brukes i rapporten både om sivilt ansatte ingeniører og politiutdannede som har spesialisert seg på datatekniske undersøkelser. Begrepet etterforsker brukes om alle andre polititjenestemenn og kvinner som arbeider med etterforskning av alle typer saker. Etterforskning av datakriminalitet omhandler mer enn datatekniske undersøkelser. Rapporten har ikke noen særskilt definisjon av etterforskere som arbeider med andre aspekter av datakriminalitet enn datatekniske undersøkelser. Sikring av data omfatter gjennomføringen av beslag, teknisk framgangsmåte for ivaretakelse av data samt dokumentasjon av at sikringen er foretatt på korrekt måte. Én metode for slik sikring er speilkopiering : politiet kopierer et lagringsmedium (harddisk, mobiltelefon, minneplugg etc.) elektronisk ved bruk av spesialtilpasset utstyr og programvare, slik at kopien skal være identisk med innholdet på lagringsmediet som ble kopiert. Metoden krever særskilt kompetanse. Et databeslag må ofte tilrettelegges for gjennomgang ved at tekstmeldinger dekodes, filer pakkes ut, søk i slettede dataområder utføres, slettede data gjenskapes, e-post fremhentes, internetthistorikk presenteres med videre. Tilrettelegging krever også særskilt kompetanse. Analyse av databeslag omfatter gjennomgang av materialet for å trekke ut relevant informasjon for saken. På samme måte som sikring og tilrettelegging av data, krever den etterfølgende analysen særskilt kompetanse. Datautstyr omfatter alt elektronisk utstyr som inneholder data, for eksempel datamaskiner, mobiltelefoner, navigasjonssystemer og separate lagringsmedier for disse. 2 Jf Internet Facilitated Organised Crime iocta, trusselvurdering fra Europol, File No.: 2530-264, 07/01/2011, pkt. 3 3 Cyber Crime Strategy, fra The Home Office, Mars 2010, pkt. 3.1, avsnitt 26. 4 Konvensjon ETS No. 185 av 23. november 2001, jf artikkel 2 til og med artikkel 10 En entydig og omforent definisjon av internettrelatert kriminalitet finnes heller ikke. Uttrykket må åpenbart omfatte det som ovenfor er beskrevet som IKT-kriminalitet. I tillegg må det antagelig omfatte spor og informasjon på Internett som er av betydning for å forebygge, avdekke eller bekjempe kriminaliteten, uten at kriminaliteten som sådan er en form for IKT-kriminalitet. 5 5 Europol bruker i denne sammenhengen begrepet Internet Facilitated Organised Crime (iocta), jf. Report File no. 2530-264 (2011). 8

Ut over dette har arbeidsgruppen ikke sett behov for å definere begrepene nærmere. Så langt det er mulig søkes å beskrive det som omtales uavhengig av bestemte definisjoner eller begreper. 2 Utviklingen i teknologien og datakriminalitet 2.1 Utvikling av teknologi, tjenester og bruken av Internett I Fornyingsdepartementets digitaliseringsprogram På nett med innbyggerne, står det følgende: Ingen som er født i 1993 og senere har opplevd en verden uten internett. Datateknologien har endret hvordan vi kommuniserer med hverandre, deler opplysninger og lagrer informasjon. Det har oppstått ny kriminalitet og nye måter å begå kriminalitet på. Bruk av data, datautstyr og Internett har blitt en sentral del av folks hverdag. I 2001 brukte 33 prosent av befolkningen hjemme-pc daglig. I 2011 var tallet økt til 70 prosent. I 2001 brukte 35 prosent av befolkningen Internett, i 2011 var det 80 prosent. I 2007 brukte 13 prosent av befolkningen i Norge sosiale medier, mens tilsvarende tall for 2011 var 51 prosent. 6 Utviklingen skjer til dels rykkvis og er vanskelig å forutsi. Det er ikke all ny teknologi som blir tatt i bruk, men når nye produkter og tjenester først slår an, øker utbredelsen raskt. På samme måte kan bruken av eldre, konkurrerende teknologi og tjenester gå tilbake med tilsvarende tempo. 6 Bruk av nettsamfunn (SSB; Norsk mediebarometer 2011): 9-15 år: 52% 16-24 år: 83% 25-44 år: 61% 45-66 år: 30% 67-79 år: 11%. I januar 2012 hadde anslagsvis 2,56 millioner nordmenn registrert seg på nettsamfunnet Facebook. Tidligere ble data lagret på den enheten som var i bruk, enten dette var en pc eller en mobiltelefon. Nå lagres data i stadig økende grad i nettskyen. 7 Brukeren vet ikke alltid hvor dataene faktisk er lagret eller hvor de behandles. Etter hvert som teknologien endres, endres også teknologibruken. En utvikling mot noe nytt, betyr ofte en utvikling bort fra eksisterende teknologier. Eksisterende virksomhet flyttes til den elektroniske virtuelle verden. Dette har endret mange bransjer og forretningsmodeller, for eksempel bank- og finanstjenester, rubrikkannonsemarkedet, reisebyråtjenester og salg av musikk. Kommunikasjon flyttes til nye arenaer, ved at tradisjonell telefoni erstattes av nettbaserte tjenester, e-post brukes i stedet for tradisjonell post, og sosiale medier erstatter møter og samtaler. 2.1.1 Kriminelles bruk av Internett Ikke overraskende flytter også kriminaliteten seg. Uten nettbanker, ville vi ikke hatt nettbankbedragerier. Stjålet gods selges via nettbaserte annonsemarkeder. Kriminalitet planlegges gjennom kommunikasjon via Internett, i stedet for ved møter ansikt til ansikt eller gjennom telefonsamtaler. Salg av narkotika og dopingmidler, seksuelle overgrep mot mindreårige, bedragerier og hvitvasking av penger fra kriminell virksomhet er eksempler på handlinger som på ulike vis har endret framgangsmåte, karakter og omfang gjennom bruk av ny teknologi. Dette gjelder både gjennomføring av handlingen og kommunikasjon mellom aktørene. 7 Nettskyen (eng. cloud computing) er en betegnelse for alt fra dataprosessering og datalagring til programvare på servere som står i eksterne serverparker tilknyttet Internett. 9

Kriminelle har, som alle andre, brukt telefon, og mobiltelefon, til å kommunisere, i forkant av, under og etter utførelsen av kriminelle handlinger. Som andre, har også de kriminelle tatt i bruk nettbaserte tjenester for kommunikasjon. Disse tjenestene er ofte lokalisert i andre land. Når kriminelle bruker nettbaserte tjenester, genereres elektroniske spor. Dels erstatter disse sporene tradisjonelle spor. Bruk av elektroniske tjenester genererer i tillegg nye og flere spor enn tidligere. Kriminelle kan benytte krypterings- og anonymiseringstjenester som er lett tilgjengelige via Internett. Via Internett kan kriminelle anskaffe verktøy for å gjennomføre ulike former for kriminalitet, for eksempel programvare som kan ta kontroll over datamaskiner. Det er tjenester som kan være vanskelige å spore, for eksempel skjulte nettsider hvor det omsettes ulovlige varer og tjenester, som narkotika, dopingmidler, kjemikalier og eksplosiver. 8 Som betalingsmiddel kan uregulerte digitale betalingsmidler som Bitcoins benyttes. 9 2.2 Elektroniske spor Elektroniske spor er informasjon i elektronisk form som kan knyttes til en bruker, person, elektronisk enhet, sted eller hendelse. Det kan være noe så enkelt som dokumenter, bilder eller annet som brukeren har lagret på en datamaskin, men bruk av datautstyr genererer også en mengde elektroniske spor som ikke bevisst lages av brukeren. De elektroniske sporene finnes på datamaskiner og servere, i andre elektroniske enheter som mobiltelefon og navigasjonsenheter (GPS), og i nettskyen. Sporene finnes også i datasystemer hos tjenestetilbydere som tilbyr e-post, blogger, elektroniske banktjenester, mobiltjenester, sosiale medier, bedriftsinterne tjenester med videre. De lagrede dataene kan for eksempel være dokumenter, bilder, regnskap, abonnementsdata, trafikkdata, weblogger og transaksjonslogger. Data lagret ett sted kan overlappe og utfylle data lagret et annet sted. For eksempel kan det finnes fragmenter av e-poster på en mobiltelefon eller datamaskin. Andre fragmenter kan finnes hos 8 Politiforum 27. april 2012: Ny side av internettkriminalitet 9 Wired.com 9. mai 2012: FBI Fears Bitcoin s Popularity with Criminals teletilbyder. Først når man setter disse sammen, har man hele e-posten. Ofte vil funn av data ett sted gi spor som leder til et annet sted. Eksempelvis kan en IP-adresse 10 kobles til et abonnement hos en teletilbyder for et gitt tidsrom. Dette leder videre til den personen som eide abonnementet. Deretter finner man datamaskinene som har benyttet internettabonnementet på det aktuelle tidspunktet, hvor ytterligere elektroniske spor kan ligge lagret. Elektroniske spor kan være flyktige. Områdene i lagringsmediene de lagres på blir gjenbrukt, overskrevet eller slettet. Lenker til andre kilder blir utdatert. Dette kan skyldes måten datamaskinen lagrer data på eller at administrative forhold eller regelverk gjør at dataene blir slettet. 2.3 IKT-kriminalitet Som nevnt i avsnitt 1.3, omfatter begrepet IKTkriminalitet både kriminalitet som retter seg mot data og datasystemer, og tradisjonell kriminalitet som utføres ved hjelp av dataverktøy. Begge disse kriminalitetsformene har økende utbredelse og henger ofte sammen. For eksempel kan et datainnbrudd gi en gjerningsmann informasjon som videre kan benyttes for å gjennomføre et bedrageri. 2.3.1 Kriminalitet mot data og datasystemer Datainnbrudd Ved et datainnbrudd 11 skaffer en seg urettmessig tilgang til datasystemer. Slik tilgang kan en skaffe seg på flere måter, blant annet ved å utnytte sårbarhet i programvaren. Datainnbrudd skjer ofte i forbindelse med annen kriminalitet som nettbankbedrageri, slik at bedrageriet på mange måter står i fokus i hendelsesforløpet. I andre tilfeller er datainnbruddet rettet mot verdien av informasjonen som kan borttas, for eksempel kontrakter, passord til bedriftssystemer og bedriftsintern, sensitiv informasjon. 12 En har også sett eksempler på datainnbrudd rettet mot større mengder personopplysninger. 13 10 En kommunikasjonsadresse på Internett eller et datanettverk for en elektronisk kommunikasjonsenhet. Enten statisk tildelt eller dynamisk for et gitt tidsrom. 11 Strl 145, 2. ledd, og ny straffelov 204 12 Aftenposten.no 15.11.2011. Stjeler kontrakter, tegninger, passord og hemmelige data www.aftenposten.no/nyheter/iriks/stjeler-kontraktertegninger-passord-og-hemmelige-data-6698674.html 13 Dagbladet 27.11.2009: Hentet ut 60 000 personnumre. 10

Dataskadeverk Dataskadeverk 14 er å ødelegge, skade eller sette ut av drift en datamaskin eller et datasystem. Slike skadeverk skjer i dag ved at det rettes tjenestenektangrep mot et datasystem eller en tjeneste på Internett. Dette gjøres ved hjelp av dataverktøy som genererer så stor datatrafikk mot en tjeneste eller et datasystem, at den normale trafikken får problemer med å komme igjennom. Dersom en har tilgang til flere datamaskiner, for eksempel et botnet, 15 kan omfanget bli betydelig. Gjerningspersonen kan på denne måten sette store datasystemer ut av drift. Det utvikles stadig nye og mer avanserte verktøy for dette. I løpet av de siste par årene har det vært en markant økning i dataangrep (tjenestenektangrep) både i Norge og internasjonalt. I noen tilfeller er slike angrep politisk motivert, ofte beskrevet som hacktivisme. Det er en utfordring for informasjonssikkerhet og i prinsippet også for ytringsfrihet når anonyme enkeltpersoner eller grupper foretar tjenestenektangrep og eventuelt også tyveri av data. Motivet for nettangrep med denne motivasjonen hevdes ofte å være et ønske om et fritt, åpent, usensurert og ukontrollerbart Internett. I Norge har nettsidene til offentlige myndigheter, politiske partier, aviser, bedrifter og interesseorganisasjoner vært utsatt for angrep. Nettsidene til to politiske partier ble utsatt for dataangrep i tilknytning til deres landsmøter våren 2011, og nettsiden til den norske nyhetstjenesten Democratic Voice of Burma ble utsatt for dataangrep før valget i Burma høsten 2010. 16 Mørketall Næringslivets Sikkerhetsråd gjennomførte i 2010 en undersøkelse, som tok for seg informasjonssikkerhet og datakriminalitet. Undersøkelsen viste at norske virksomheter har opplevd til sammen 23.500 datainnbrudd, uautorisert endring/sletting av data, misbruk av IT-ressurser og målrettede aksjoner som har til hensikt å redusere tilgjengelighet. Antallet anmeldelser for samme periode og de samme www.dagbladet.no/2009/11/27/nyheter/innenriks/tele2/da tainnbrudd/9227966/ 14 Strl 291 og ny straffelov 206 15 Botnet nettverk av datamaskiner hvor datasikkerheten er brutt ved bruk av ondsinnet programvare, slik at de kan kontrolleres av en tredjepart 16 TV2, 1.10.2010: Data-angrep mot eksil-burmesere i Oslo www.tv2.no/nyheter/innenriks/dataangrep-moteksilburmesere-i-oslo-3304588.html kategoriene er 218. Det betyr at mindre en 1 prosent av disse forholdene anmeldes til politiet. Mørketallsundersøkelsen for 2010, pkt. 6.2: Undersøkelsen gir ingen klare indikasjoner på hva som er årsaken til at datakriminalitet ikke anmeldes. Imidlertid er årsaker som Saken er ubetydelig, Tror ikke det er mulig å finne gjerningsmann og tror ikke forholdet er straffbart gjengangere. Manglende tillit til politiets kompetanse er også en årsak som en del oppgir, men den er ikke av de mest fremtredende forklaringene. ( ) Datakrimutvalget [til Næringslivets Sikkerhetsråd] anbefaler derfor en betydelig styrking av politiets evne til å forebygge, etterforske og iretteføre denne formen for kriminalitet. Datakrimutvalget mener det er et fåtall politidistrikter som i dag har kompetanse eller ressurser til å etterforske denne formen for kriminalitet. NorCERT håndterer stadig flere IKT-hendelser, og antallet saker har blitt tredoblet fra 2007 til 2011. 17 2.3.2 Kriminalitet ved bruk av datasystemer I tillegg til den kriminaliteten som retter seg mot datasystemene, blir data og dataverktøy brukt til å begå tradisjonell kriminalitet. Nedenfor beskrives to former for slik kriminalitet. Det finnes langt flere. Databedragerier Et databedrageri 18 skiller seg fra et ordinært bedrageri ved at det som manipuleres er en datamaskin, ikke en person, til å utføre en handling. Det er dette som skjer blant annet ved nettbankbedragerier. Disse bedrageriene blir gjennomført ved hjelp av avanserte dataprogrammer. Denne skadelige programvaren blir kontinuerlig videreutviklet. Distribusjon skjer slik at det ønskede antallet datamaskiner i et geografisk område blir infisert. Når programvaren er installert på de infiserte maskinene, får gjerningspersonene tilgang til datamaskinen, og dermed tilgang til brukerens nettbankkonto. Det er utenlandske grupper som står bak lovbruddene. Disse synes å ha spesialisert seg på ulike deler av bedrageriet. Noen utvikler og oppdaterer skadevare, noen 17 Meld. St. 29 (2011-2012) Samfunnssikkerhet, pkt. 9.2. 18 straffeloven 270, annet alternativ 11

sørger for infisering og distribusjon av den og andre for rekruttering av pengehelere. I løpet av de to siste årene har Kripos mottatt mer enn 200 anmeldelser for nettbankbedragerier fra forskjellige norske banker. Identitetstyverier Identitetstyveri er en samlebetegnelse på flere ulike handlinger, hvor kjernen er at noen på urettmessig vis utgir seg for å være noen andre. I mange tilfeller vil det være en person som er offer for identitetstyveriet, men også firmaer og offentlige virksomheter kan utsettes for slikt misbruk. Isolert sett er ikke bruk av data en forutsetning for identitetstyverier, men mange former for identitetstyveri og etterfølgende misbruk blir gjort lettere eller endrer karakter gjennom bruk av ny teknologi. Ved datainnbrudd i store databaser, kan store mengder personopplysninger borttas, for senere misbruk. Phishing 19 er en type identitetstyveri som er basert på bruk av Internett. En e-post sendes til et stort antall mottakere Avsenderen utgir seg for å være en bank eller betalingskortselskap som har behov for verifisering av kundeopplysninger. E-posten har en lenke som leder til en nettside som tilsynelatende er nettsiden til vedkommende bank eller betalingskortfirma. Dermed forledes mottakeren av e-posten til å oppgi kontonummer, passord eller andre sensitive opplysninger, som så misbrukes. 2.3.3 Verktøy I gjennomføringen av alle former for IKTkriminalitet sees økt bruk av ondsinnet programvare (skadevare). Dette er programmer som sjelden eller aldri har noen lovlig anvendelse, men som er utviklet for å utnytte svakheter i datasystemer for og gjennomføre ulike former for kriminalitet. For eksempel benyttes skadevare for å skaffe seg nettverk av kompromitterte maskiner (botnet). Slike nett kan brukes til å utføre dataangrep for å sette tjenester på Internett ut av spill (tjenestenektangrep), sende ut spam eller fiske ut informasjon (phishing). De som utvikler slik programvare har ofte høy teknologisk kompetanse, men helt ordinære databrukere kan lett få tilgang til slike programmer og gjennomføre IKT-kriminalitet. 19 Jf. http://snl.no/phishing For eksempel finnes brukervennlige programmer for tjenestenektangrep alminnelig tilgjengelig på Internett. Foto: Kripos 3 Politiets arbeid med elektroniske spor, mot IKT-kriminalitet og på Internett i dag 3.1 Innledning Nedenfor gis en beskrivelse av hva politiet gjør innenfor de tre områdene, hvem som utfører de ulike oppgavene og hvordan disse utføres. Først behandles elektroniske spor (kapittel 3.2), deretter IKT-kriminalitet (kapittel 3.3) og deretter politiarbeid på Internett (kapittel 3.4). Til slutt behandles politiets organisering, bemanning og kompetanse (kapittel 3.5) og internasjonalt samarbeid (kapittel 3.6). 3.2 Politiets arbeid med elektroniske spor 3.2.1 Innledning Elektroniske spor er gjenstand for datatekniske undersøkelser. Datatekniske undersøkelser (eng; digital forensics) omfatter sikring, tilrettelegging og analyse av data. Her omtales politiets arbeid med data fra elektroniske enheter og lagringsmedier. Sikring og analyse av data i transport mellom kommunikasjonsanlegg (kommunikasjonskontroll), og innhenting og analyse av data fra tjenestetilbydere, for eksempel trafikkdata, e-post og sosiale medier omtales ikke fordi dette faller utenfor mandatet. 3.2.2 Hva gjør politiet med elektroniske spor? Arbeidet med datatekniske undersøkelser består av sikring, tilrettelegging og analyse av data. Politiet foretar datatekniske undersøkelser i datamaskiner, mobiltelefoner, lagringsmedier og andre elektroniske enheter. Dette trenger 12

ikke være lagrede data, men også flyktige data fra systemer som kjøres når beslaget tas. Oppgavene omfatter også sporing og sikring av bevis på Internett. Databeslag tilrettelegges for etterfølgende gjennomgang og analyse. Politiet foretar av og til sikring og analyse av databeslag på åstedet. Datatekniske undersøkelser på åstedet kan være helt avgjørende for oppklaring av saken og benyttes av og til i drapssaker og andre alvorlige saker. Det forekommer at datatekniske undersøkelser er den eneste muligheten for å belyse en hendelse eller oppklare et straffbart forhold. De siste årene har elektroniske spor stått sentralt i flere større straffesaker. I etterforskningen av Haugerud-drapet 20 (2009), ble det innhentet data fra Facebook. Det ble også funnet elektroniske bevis i beslaglagt datautstyr. Sett i sammenheng, ble denne informasjonen avgjørende for skyldspørsmålet. Ifølge en spørreundersøkelse foretatt av Kripos i 2011 til lokale politidistrikter, 21 ble trafikkdata, særlig fra mobiltelefoner, innhentet i 73,9 % av alle drapssaker samt i en stor andel andre saker av alvorlig karakter. En tilsvarende spørreundersøkelse er ikke gjort for elektroniske spor generelt. Det er imidlertid klart at pågangen til lokale dataetterforskere og til Kripos, for sikring og analyse av elektroniske spor, øker kontinuerlig. 3.2.3 Hvem foretar datatekniske undersøkelser? Dataetterforskere i politiet er enten sivilt ansatte ingeniører eller politiutdannede med tilleggsutdanning og/eller kompetanse ervervet gjennom praksis. Det er ulik praksis med hensyn til hvem som foretar sikring og analyse. Selve beslaget gjennomføres som oftest av etterforskere med generell etterforskningskompetanse. Den etterfølgende speilkopieringen, tilretteleggelsen og eventuelt også analysen foretas normalt av dataetterforskeren. Politidistriktene har fra ingen til tre dataetterforskere, med unntak for det største distriktet i undersøkelsen (Oslo politidistrikt) som for tiden har 14 dataetterforskere og planlegger å utvide til 20. Det er vanligvis en etterforsker som har 20 Dom fra Borgarting lagmannsrett av 28. mars 2011, LB-2011-153526 21 Høringssvar fra Kripos til Samferdselsdepartementet av 12.4.2010: Datalagringsdirektivet, del III, pkt. 3.3.1 og 3.3.2 (Trafikkdata omfang og nytteverdi) saksansvaret for etterforskningen (ikke en dataetterforsker). Heretter vil disse bli betegnet som etterforskere. De med spesialisert datateknisk bakgrunn betegnes som dataetterforskere, jf. avsnitt 1.5. Hoveddelen av datautstyret som beslaglegges i politidistriktene sikres og analyseres av en lokal dataetterforsker. En del politidistrikter har etterforskere som har fått opplæring i å sikre innholdet på mobiltelefoner. Det brukes spesielt verktøy til dette som etterforskeren har fått opplæring i å håndtere. Dette bidrar til å forkorte saksbehandlingstiden i den aktuelle saken, og til å frigjøre kapasitet hos dataetterforskerne, som kan benyttes til mer avanserte datatekniske undersøkelser. Seksjon for elektroniske spor ved Kripos, har et eget datalaboratorium og 14 sivilt ansatte ingeniører i tillegg til seksjonsleder. Seksjonen arbeider med Kripos egne saker og bistår politidistriktene med datatekniske undersøkelser. En stor del av arbeidet er oppgaver som stiller høye krav til kompetanse og som ofte krever spesialutstyr eller egenutviklet programvare. I hovedsak arbeider seksjonen med sikring og analyse av elektroniske enheter, men også i noen grad sikring og analyse av innhold fra Internett. Seksjonen har kompetanse til å foreta avanserte datatekniske undersøkelser, og arbeider også med metodeutvikling. Både Kripos og politidistriktene peker på at behovet for datatekniske undersøkelser øker, samtidig som undersøkelsene blir vanskeligere og mer tidkrevende. En særskilt utfordring er at de ulike produsentene av datamaskiner, mobiltelefoner og andre elektroniske enheter bruker ulike løsninger for å beskytte sine tekniske spesifikasjoner. Dette medfører at det må brukes ulike metoder for sikring og analyse. I tillegg endres funksjonaliteten i datautstyret så raskt at man hele tiden må utvikle nye metoder og/eller forbedre de eksisterende. Politidistriktene utfører de fleste datatekniske undersøkelsene. Økende volum og større kompleksitet, vil kunne føre til at et økende antall undersøkelser blir krevende for politidistriktene, samtidig som Kripos ikke har tilstrekkelig kapasitet til å ta disse sakene. Politidistriktene har i begrenset grad benyttet private virksomheter til sikring og analyse av elektroniske spor. Det er flere årsaker til dette. 13

For det første kan bruk av private firmaer utfordre rettssikkerheten. Kvaliteten på det arbeidet som har blitt utført av private har vært varierende. Det er også viktig at politidistriktene selv har kompetanse til å vurdere det arbeidet som gjøres av eksterne parter. Viktige veivalg under en etterforskning må være basert på et godt og saklig grunnlag, slik at man tåler å bli utfordret i ettertid. For det andre kan beslaglagt materiale inneholde sensitive personopplysninger som ikke må komme på avveie. Bruk av private øker kretsen av parter med tilgang til beslaglagt materiale, og kan derfor utsette bevismaterialet for nye risikofaktorer. For det tredje er det et spørsmål om kostnader. Erfaringer fra Storbritannia indikerer at det over tid koster vesentlig mindre å bygge kompetanse og kapasitet internt i politiet, enn å kjøpe tjenester fra private. 3.2.4 Hvordan arbeider politiet med elektroniske spor? Databeslag kommer til politiet på ulike måter. Ved planlagte aksjoner hvor man forventer å finne datautstyr som kan inneholde bevis, tas dataetterforskere noen ganger med i planleggingen av aksjonen. Etterforskere og dataetterforskere drøfter og avgjør hvilke databeslag som skal gjøres og hvordan disse skal foretas ut fra hva som skal bevises. Av og til er dataetterforskeren også med i selve aksjonsfasen. På denne måten sikres kvaliteten på arbeidet. Med få tilgjengelige dataetterforskere, er det ikke mulig å gjøre dette rutinemessig. Aksjoner kan også foregå på kvelden og i helgene. Dataetterforskeren blir av og til tilkalt i slike situasjoner, selv om politidistriktene ikke har etablert noen ordning for dette. Når datautstyr tas i beslag uten at det gjøres som et ledd i en planlagt aksjon, blir dataetterforskere naturlig nok ikke koplet inn før etter at beslaget er tatt. Det kan være situasjoner hvor etterforskere forventer å finne bevis i datautstyret, men det kan også være at det tas beslag i datautstyr uten at man har noen slik forventing. Noen etterforskere vet hvordan datautstyret skal håndteres, slik at ikke bevis går tapt eller blir endret som følge av politiets håndtering. Andre har ikke denne kompetansen. Det hender derfor at data blir slettet eller endret, slik at bevisverdien reduseres eller faller bort. Når datautstyret kommer til dataetterforskeren, må det sikres, slik at man kan analysere beslaget uten å påvirke innholdet. Til dette bruker man egne datamaskiner og spesiell programvare. Noen ganger gjøres denne analysen av dataetterforskeren og etterforskeren i fellesskap. I slike tilfeller har man gjerne hatt en bestemt oppfatning av hva slags informasjon man forventer å finne og hva dette kan bevise. Gjennom et slikt samarbeid, gjerne hvor også påtaleansvarlig trekkes inn, oppnår man at analysen går raskere og analysen kan gi gode bevis i saken. Et slikt samarbeid hever kompetansen for alle involverte. Verktøyene og metodene som brukes ved datatekniske undersøkelser, må være oppdaterte. For eksempel har politiet erfart at verktøy som har vært brukt for å sikre data fra mobiltelefoner ikke hadde samme funksjonalitet etter at det kom oppdaterte versjoner av systemprogramvaren for den aktuelle type mobiltelefoner. Ett politidistrikt som deltok i intervjuundersøkelsen har under etablering en ny løsning for samarbeidet mellom dataetterforsker og etterforsker. De har kjøpt inn maskiner og programvare som gjør at både dataetterforskeren og etterforskeren kan jobbe med beslaget samtidig. Distriktet har så langt hatt positive erfaringer med denne arbeidsformen. Etterforskerne forstår ikke alltid hvilke muligheter som ligger i elektroniske spor. Derfor hender det at dataetterforskeren får overlevert datautstyr uten at etterforskeren har noen bestemt formening om hva han eller hun forventer å finne av bevis. I slike tilfeller kan arbeidet bli unødvendig omfattende, fordi det er uklart hva man skal se etter. Noen etterforskere gir dataetterforskeren en grundig bestilling i forhold til hvilke bevis man søker å finne i datautstyret. Dette letter dataetterforskerens arbeid og unødvendig arbeid unngås. Det forekommer også at datautstyr som politiet kommer over ikke blir beslaglagt. Ofte skyldes dette at etterforskeren vet at kapasiteten hos dataetterforskeren(e) ikke strekker til. Noen ganger dukker det opp i databeslaget informasjon politiet ikke så etter. Det er en rekke eksempler på at politiet har funnet overgrepsbilder på datamaskiner som ble beslaglagt i forbindelse med et annet straffbart 14

forhold. Det kan også forekomme at mistenktes forsvarer ber om ytterligere datatekniske undersøkelser, for eksempel for å avdekke om mistenkte har alibi. Det er noe ulik praksis for hva som skjer med databeslaget når saken er ferdig behandlet og påtaleavgjort. Det foreligger ikke felles retningslinjer for behandling av databeslag i avgjorte saker. Databeslag blir som oftest lagret når saken er rettskraftig, men hvordan dette gjøres varierer betydelig. 3.3 Politiets bekjempelse av IKTkriminalitet Alle politidistriktene som ble intervjuet mente at det er store mørketall innenfor IKT-kriminalitet. De vet at kriminaliteten foregår, men den blir ikke anmeldt. Dette medfører at politiet i liten grad arbeider med denne typen kriminalitet. Den beskjedne statistikken politiet har om IKTkriminalitet er lite nøyaktig av flere grunner. Statistikk-kodene i politiets datasystemer 22 er ikke tilpasset denne kriminalitetsformen. De få anmeldelsene som kommer inn, blir ofte registrert som noe annet enn IKT-kriminalitet. Statistikken gir derfor ikke noe bilde av IKTkriminaliteten. Politidistriktene gjør ikke noe systematisk arbeid for å skaffe seg oversikt over hva som foregår av IKT-kriminalitet, utover det som anmeldes. Kripos har utstrakt samarbeid med både private og offentlige aktører og deltar i internasjonalt politisamarbeid på området. Nedenfor redegjøres det for dagens arbeid med bekjempelse av IKT-kriminalitet i politiet. 3.3.1 Hva gjør politiet med IKTkriminaliteten? Enkelte av distriktene har arbeidet med saker som gjelder datainnbrudd hos næringsdrivende. I mange tilfeller har de imidlertid ikke lyktes med å komme i mål med sakene. Andre distrikter har etterforsket og oppklart mindre alvorlige forhold som innbrudd på konto i sosiale medier. Noen har også hatt saker med 22 Datainnbrudd, ulovlig avlytting av telefon/datasystemer, seksuelt krenkende adferd via datasystemer, rettsstridig forføyning over datasystem, databedragerier, skadeverk på datalagringsmedier, heleri av datainformasjon, ulovlig innsyn i datalagret forretningshemmelighet, brudd på åndsverkloven og brudd på personopplysningsloven m.v. dataskadeverk, som for eksempel dataangrep mot nettsiden til en lokal fagforening. Distriktene i sør- og østlandsområdet har hatt en rekke skimmingsaker. Ved Oslo politidistrikt er det opprettet en egen gruppe for håndtering av disse sakene. Gruppen utfører en del nasjonalt koordineringsarbeid, både internt i politiet og mot finansnæringen, uten at dette er fastlagt i noen overordnet plan eller sentrale retningslinjer. I enkelte saker har Oslo politidistrikt lånt laboratoriet hos Datakrimavdelingen ved Kripos for å utføre avanserte undersøkelser av beslaglagt skimmingutstyr. Oslo politidistrikt har da hatt eget personell til stede for å utføre undersøkelsene. Seksjon for datakrimetterforskning ved Kripos tar inn til etterforskning mellom tre og fem sakskomplekser på området hvert år. Disse sakskompleksene inneholder som oftest en lang rekke lovbrudd begått mot et stort antall mennesker og av kriminelle som har kompetanse og er godt organisert. IKTkrimsakene som etterforskes av seksjonen, er ofte av kompleks karakter og gjelder nye problemstillinger. Etterforskningen kan være tidkrevende. 3.3.2 Hvem løser disse sakene? I politidistriktene blir IKT-kriminalitet dels håndtert av de som arbeider med datatekniske undersøkelser og dels av vanlige etterforskere. Ingen av politidistriktene har organisert arbeidet med IKT-kriminalitet i en egen enhet. Sakene fordeles mellom ulike driftsenheter og etterforskningsmiljøer. Enkelte saker har blitt kanalisert til enheter for etterforskning av økonomisk kriminalitet, men hoveddelen av sakene plasseres hos andre lokale etterforskningsenheter. Kripos har et særskilt ansvar for å etterforske alvorlig IKT-kriminalitet, jf påtaleinstruksen 37-3, fjerde ledd. Dette gjelder saker som krever utstrakt internasjonalt samarbeid, ikke hører naturlig inn under noe politidistrikt eller er særskilt kompetanse- eller teknologikrevende. Hos Kripos ligger dette saksfeltet til Seksjon for Datakrimetterforskning med fem etterforskere, to jurister og seksjonsleder. I arbeidet støtter denne seksjonen seg på kompetanse fra andre fagmiljøer ved Kripos, ikke minst fra fagmiljøet som jobber med datatekniske undersøkelser. 15

3.3.3 Hvordan arbeider politiet med IKTkriminalitet? Alle politidistriktene i undersøkelsen opplyste at en høy andel av saker som gjelder IKTkriminalitet blir henlagt. Flere politidistrikter fremhever at i en del av de mindre alvorlige anmeldelsene, som for eksempel passord på avveie, henvises anmelder til den nettbaserte tjenesten SlettMeg.no, som driftes av NorSIS. De få sakene som politidistriktene faktisk etterforsker innenfor IKT-kriminalitet, etterforskes både ved hjelp av datatekniske undersøkelser og tradisjonelle etterforskningsmetoder som for eksempel avhør. De enklere sakene, som innbrudd i konto på sosiale medier, oppleves som regel som enkle å løse, gjerne også uten datatekniske undersøkelser. I mer kompliserte saker som krever datateknisk kompetanse, ser det ut til at distriktene ofte blir stående fast. Ikke nødvendigvis fordi saken er komplisert, men også fordi de er ressurskrevende og tilgangen på bistand fra Kripos oppleves som begrenset. I noen sammenhenger blir også mangel på utstyr og verktøy fremhevet som årsak til at man ikke kommer i mål. Sakene Seksjon for Datakrimetterforskning hos Kripos behandler inneholder ofte flere titalls, til og med hundretalls fornærmede. Ved for eksempel nettbankbedragerier, er fornærmede ikke bare privatpersoner som har fått tappet kontoen sin, men naturligvis også bankene. Slike saker krever betydelige ressurser under etterforskningen. De fleste IKT-krimsakene som etterforskes ved Kripos, åpnes på bakgrunn av anmeldelser fra fornærmede, mens noen saker åpnes på bakgrunn av politiets egen etterretning. Arbeidet under etterforskningen er basert på samarbeid mellom etterforskere, påtalejurister og teknologer. I noen tilfeller har det vært innhentet støtte fra andre miljøer ved Kripos og fra lokale politidistrikter. Samarbeid med utlandet er ofte et sentralt moment, siden datakriminalitet så å si alltid har spor som leder til nettjenester, selskaper og andre aktører i utlandet. Utover arbeid med egne straffesaker, gir også seksjonen bistand til lokalt politi og utenlandsk politi i tilknytning til deres saker. Seksjonen får i dag utført datatekniske undersøkelser av seksjon for elektroniske spor ved Kripos, fordi seksjonen ikke har egne dataingeniører. Kripos har etterforsket grove skadeverk i form av såkalte tjenestenektangrep mot norske og utenlandske virksomheter og nettbankbedragerier mot en rekke norske bankkunder. Ifølge bankene og Finanstilsynet er det potensielle tapet i slike saker svært stort. Ett av disse sakskompleksene ble anmeldt våren 2011. Gjennom et samarbeid mellom berørte banker, Kripos og andre aktører, lyktes det å avverge bedragerier og begrense tapene. 23 I et annet eksempel ble en datamaskin i Norge brukt til å bryte seg inn på en amerikansk server og laste ned brukernavn og passord for 6 millioner brukere av tjenesten. Et tredje eksempel gjaldt datainnbrudd på en norsk nettvirksomhet. De som foretok datainnbruddet spredte i ettertid sensitive personopplysninger som var stjålet ved datainnbruddet. ØKOKRIM har behandlet enkelte saker som grenser inn mot saksområdet, blant annet en straffesak mot et flyselskap for bruk av informasjon fra en konkurrent, innhentet via urettmessig datatilgang. Enkelte saker om IKT-kriminalitet grenser også mot arbeidsområdet til PST. Dette gjelder blant annet dataangrep mot sentrale samfunnsinstitusjoner. Arbeidsgruppen har ikke sett nærmere på spørsmålene rundt grensene mellom PST og andre enheter i politiet, jf kapittel 1.2. 3.4 Politiarbeid på Internett 3.4.1 Innledning Med begrepet politiarbeid på Internett, sikter arbeidsgruppen til etterforskning, forebyggende arbeid og etterretning basert på informasjon innhentet fra Internett. Det er avgrenset mot publikumsrettet informasjonsarbeid via Internett, samt avgrenset mot politiets forvaltnings- og informasjonstjenester. 3.4.2 Hva gjør politiet på Internett? På samme måte som den alminnelige handlefriheten åpner for at politiet kan patruljere i byens gater, i uniform eller i sivil, har politiet anledning til å innhente informasjon fra åpne kilder på nettet, jf. Europarådets Datakrimkonvensjon artikkel 32 litra a. Noen etterforskere i politidistriktene sporer IPadresser og henter annen informasjon fra 23 Kripos, Den organiserte kriminaliteten i Norge, trender og utfordringer i 2011-2012 side 22 16

Internett i forbindelse med etterforskning og annet politiarbeid. Det gjennomføres også noe spaning på Internett, dels i tilknytning til etterforskning av straffesaker, men også i tilknytning til forebygging og etterretningsarbeid. Som et eksempel på dette har vært nevnt arbeid mot kjøp av seksuelle tjenester og menneskehandel. Det synes som om informasjonsinnhenting fra nettet oftere har blitt iverksatt ad hoc etter forslag fra saksansvarlige etterforskere, enn etter mer systematiske og målrettede planer. Noen tjenestemenn har god kunnskap om hvordan Internett kan benyttes til informasjonsinnhenting og hvordan dette skal gjøres, herunder hvordan man bør og ikke bør knytte seg til Internett, avhengig av hva slags oppgave man skal utføre. På samme måte som ved andre typer etterforskning, vil politiet i en del tilfeller ha behov for å infiltrere grupper eller miljøer på Internett. Ansvaret for metoden infiltrasjon på nettet er i dag lagt til Kripos, men utover saker omkring seksuallovbrudd på Internett, har enheten begrenset erfaring med denne type arbeid. Etter det arbeidsgruppen kjenner til, utføres ikke infiltrasjon på nettet av distriktene eller andre politienheter, uten i et samarbeid med Kripos. I tillegg til informasjon via nettsiden Politi,no, har de fleste politidistrikter opprettet egne kontoer på sosiale medier. Nettsiden www.politi.no har en tipsløsning hvor tips som gjelder bestemte saksområder rutes videre til Kripos tipsløsning rød knapp, og de øvrige rutes til lokalt politi. Norsk politi foretar ikke noen systematisk patruljering på Internett. Kripos har i noen grad vært til stede på nettsteder der voksne søker å komme i kontakt med barn for å kunne foreta seksuelle overgrep. Oslo politidistrikt gjør et arbeid omkring offentlig ro og orden, som også innebærer noe patruljering på Internett. 3.4.3 Hvem utfører politiarbeid på Internett? I den grad det jobbes med dette skjer det sporadisk av tjenestemenn, med forskjellig grad av opplæring og erfaring, og tilknyttet ulike enheter og fagmiljøer. Kripos har fagmiljø for ulike typer politiarbeid på Internett, blant annet knyttet til arbeidet for å forebygge og etterforske seksuelle krenkelser av barn på Internett og innen bekjempelse av IKT-kriminalitet. Som et ledd i satsningen mot internettrelatert kriminalitet har Kripos under etablering et prosjekt som skal gi internettrelatert etterforskningsstøtte til politidistriktene og etterforskningsmiljøer i egen organisasjon. 3.4.4 Hvordan jobbes det på Internett? Når politiet bruker Internett via datamaskiner tilknyttet politinettet, vil IP-adressen gjøre at mange enkelt vil kunne spore aktiviteten direkte tilbake til politiet. Disse linjene kan derfor ikke benyttes når politiet ønsker å opptre diskré. Politidistriktene har varierende praksis og løsninger for bruk av nettløsninger som sikrer tilstrekkelig grad av anonymitet for politiet under etterforskningen. Flere politidistrikter beskriver selv at deres løsninger ikke er gode. Det foreligger ingen sentrale tekniske løsninger, retningslinjer eller anbefalinger på dette punktet. En løsning for anonym internettilknytning for politiet ble utredet av Kripos i 2008. Målet var å etablere internettaksess som ikke kunne spores direkte til politiet. Det antas at flere fagmiljø, både i særorganene og i distriktene, kan ha behov for en slik aksess til Internett. Kripos har i forbindelse med etableringen av prosjektet, som skal gi internettrelatert etterforskningsstøtte, besluttet å foreta en ny utredning av dette. 24 Videre vil Kripos også utrede behovet for å investere i adekvat verktøy for informasjonsinnhenting på nett. 25 Arbeidsgruppen vil også peke på at PST gjør investeringer innenfor dette området. Ett politidistrikt fremhevet at oppgaven med åpen og skjult virksomhet på Internett ikke er tildelt noen bestemt person eller enhet i distriktet og at de ser et behov for å gå gjennom strukturen i dette arbeidet. Flere politidistrikter etterlyste mer metodekunnskap, teknisk kunnskap og klarere retningslinjer. 3.5 Dagens organisering, bemanning og kompetanse Det er ulik organisering av den datatekniske kompetansen i politidistriktene. Noen steder er dataetterforskerne tilknyttet økoteamet. Andre steder er de knyttet til kriminalteknisk, spaning 24 Jf Prosjektplan for Internettrelatert etterforskningsstøtte, Kripos, 10.06.2012, pkt. 2.2, underpunkt Tiltak : Bidra til utvikling av og anskaffelse av anonymt internett ( ). 25 Jf. Plan for forebygging og bekjempelse av internettrelatert kriminalitet, Kripos 1. mai 2012. 17

og etterretning eller retts- og påtale. I alle tilfeller fungerer de som en felles ressurs for hele politidistriktet. Ett av politidistriktene i undersøkelsen opplyste at de vurderer å foreta en omorganisering av arbeidet rundt datakriminalitet og elektroniske spor, til en slagkraftig gruppe som arbeider med saksområdet. Landets største politidistrikt har for tiden 14 ansatte som arbeider med datatekniske undersøkelser. De øvrige politidistriktene har fra ingen til tre ansatte. Noen av dataetterforskerne har andre arbeidsoppgaver i tillegg til datatekniske undersøkelser. Flere politidistrikter har opplevd å stå uten dataetterforsker i kortere eller lengre perioder fordi dataetterforskeren har tatt permisjon eller gått over i ny stilling. Politidistriktene opplever at det tar tid og er vanskelig å rekruttere nye dataetterforskere, særlig hvis man ønsker noen med politibakgrunn. Dette skaper utfordringer i forhold til både kapasitet og faglig utvikling for medarbeiderne. Politidistriktene etterstreber tverrfaglighet i arbeidet, men lykkes bare delvis med dette. Politidistriktene fremhever viktigheten av å ha både dataingeniører og politiutdannede med datateknisk kompetanse, men langt fra alle har dette. Videre fremheves at dersom man ikke har dataetterforsker med politibakgrunn, må etterforskeren jobbe tett med dataetterforskeren. Sakene krever både etterforskningskompetanse og teknisk kompetanse. Selve sikringsdelen av arbeidet kan gjøres av teknikeren alene, men gode undersøkelser og analyser av materialet krever både etterforsknings- og teknisk kompetanse. Få jurister har fått mulighet til å spesialisere seg i forhold til de utfordringene som datatekniske undersøkelser, IKT-kriminalitet og politiarbeid på Internett gir. Det er store forskjeller på hvordan politidistriktene fordeler arbeidsoppgavene i forbindelse med databeslag. I Oslo politidistrikt er det nærmest fast praksis at etterforsker og dataetterforsker samarbeider helt fra starten av saken. Dermed får dataetterforskeren god innsikt i saken og hva som ønskes bevist. Etterforskeren får innsikt i hva man kan og ikke kan få ut av databeslaget. I andre distrikter etableres slikt samarbeid sjeldnere, i noen distrikter aldri. Jo mindre etterforskeren er involvert i håndteringen av databeslaget, jo strengere krav stiller det til den bestillingen etterforskeren gir til dataetterforskeren, altså krav til etterforskerens kompetanse. I mange tilfeller gis det ingen bestilling, man bare overlater databeslaget til dataetterforskeren og håper han eller hun finner noe. Dette skyldes som regel manglende kompetanse hos etterforsker og/eller påtaleansvarlig. Elektroniske spor kan bli oversett fordi den teknologiske kompetansen til vanlige tjenestemenn ikke er tilstrekkelig til at de får øye på hvilke muligheter som ligger i datatekniske undersøkelser. Teknologiforståelse og teknologibruk er ikke en del av dagens grunnutdanning ved Politihøgskolen. Politidistriktene må selv sørge for å gi alt operativt personell slik opplæring, men dette blir bare delvis gjennomført. Ikke alle dataetterforskere har tilstrekkelig opplæring i politiarbeid til å kunne foreta analyse av databeslag på en måte som ivaretar rettssikkerheten. Dette medfører en risiko for feilaktige avgjørelser. Det skjer kompetanseoverføring fra Kripos ved samarbeid i enkeltsaker, gjennom kurs, seminarer og hospiteringsordninger, samt ved at Kripos sender ut et nyhetsbrev til dataetterforskere i politidistriktene. Politidistriktene bidrar av og til med innhold. Nyhetsbrevet handler hovedsakelig om datatekniske undersøkelser. Kripos har også et årlig fagseminar for dataetterforskere og jurister. Politidistriktene etterlyser en klarere ansvars- og oppgavefordeling mellom Kripos og Politihøgskolen når det gjelder kompetanseoverføring. Politidistriktene etterlyser også en klarere ansvars- og oppgavefordeling mellom Kripos og politidistriktene. Politidistriktene har forventninger til at Kripos i større grad enn i dag skal utarbeide fremgangsmåter, definere standarder på utstyr og programvare, og være tilgjengelig for råd og bistand. Enkelte distrikter mener Kripos bør etablere en desk for bistand innenfor datatekniske undersøkelser, IKTkriminalitet og politiarbeid på Internett, herunder juridiske bistand, tilsvarende dagens desk på Kripos. Kripos selv mener en slik løsning ikke nødvendigvis er den beste, men slutter seg til distriktenes beskrivelser av behov for standardisering av arbeidsmetoder, felles utstyr og programvare og mer bistand til distriktene. 18

Arbeidsfeltene er i kontinuerlig endring. Det er krevende å drive ønskelig og nødvendig utvikling av arbeidsmetodene, i tråd med de teknologiske fremskrittene i samfunnet. 3.6 Internasjonalt samarbeid Norsk politi deltar i betydelig omfang i internasjonalt samarbeid innenfor bekjempelse av IKT-kriminalitet. Kripos deltar i en analysefil (prosjekt) i Europol ( AWF Cyborg ) som arbeider spesielt rettet mot nettbankbedragerier, i Interpols europeiske arbeidsgruppe innen datakrim og i G8-landenes nettverk innen high-tech crime. Kripos deltar også i Nordisk forum for IT-etterforskning hvor det er etablert flere arbeidsgrupper. Etterforskning av IKT-kriminalitet og elektroniske spor i andre typer saker, medfører ofte at det må innhentes informasjon fra utenlandske tjenestetilbydere. Et velfungerende internasjonalt samarbeid er derfor helt avgjørende for å nå frem i etterforskningen. Avhengig av hvor mye det haster å få et svar, rettes slike forespørsler enten direkte til tjenestetilbyderen eller til politimyndigheten i det landet hvor tjenesten er registrert, eller det fremmes en rettsanmodning. 24/7 - vaktordning Norge har etablert et nasjonalt kontaktpunkt National Central Reference Point (NCRP) innen High Tech Crime med en begrenset 24/7 vaktordning. Hensikten er å få en rask reaksjon i saker der utenlandske myndigheter ber norsk politi om å sikre elektronisk spor, og tilsvarende i saker hvor norsk politi trenger å sikre elektroniske spor i utlandet. Deltakelse i nettverket er en av Norges forpliktelser i henhold til Europarådets Convention on Cybercrime. Dette kontaktpunktet er opprettet for å lette det internasjonale samarbeidet på området. I Norge skal derfor saker og henvendelser rettes til desken ved Kripos som videre tar kontakt med faglig personell som kan bistå både utenlandsk og norsk politi. Kontaktordningen har en viss svakhet ved at det i dag ikke er personell med den nødvendige kompetanse som besvarer henvendelser i første instans. Det er heller ingen vaktordning blant ansatte ved Kripos med slik kompetanse. Det betyr at henvendelser mottatt utenom kontortid kan måtte vente til påfølgende arbeidsdag. EU etablerer European Cyber Crime Centre EU skal i januar 2013 åpne et sentralt kompetansesenter for å forebygge og bekjempe IKT-kriminalitet. Senteret er lagt til Europol i Haag, og skal gi bistand til bevissikring, datatekniske undersøkelser og følge opp tettere de påtalemessige forhold. Senteret skal også ha et nært samarbeid med nasjonale politienheter, næringsliv og sikkerhetsbransjen i forhold til registrering av IKT-hendelser for å få en god dokumentasjon av trusler og tap. Virksomheten er ment å styrke det europeiske arbeidet med kunnskapsutvikling, metodeutvikling og forskning på viktige temaer der ny teknologi utfordrer politiutøvelsen. Senteret kan bli et godt instrument for å bekjempe IKT-kriminalitet, og Norge bør etablere et tett samarbeid med det for å ivareta norske interesser på området. Det er også viktig at norsk politi kan motta og behandle henvendelser fra dette senteret på en god måte. Arbeidsgruppen antar at etableringen av dette senteret, kan føre til at norsk politi vil motta et økende antall bistandshenvendelser fra utlandet. INTERPOL åpner Global Complex Norsk politi samarbeider med INTERPOL også på området IKT-kriminalitet og elektroniske spor. INTERPOL har nå under etablering Global Complex for Innovation i Singapore, og tar sikte på å få senteret i drift i 2014. Det er flere tiltak dette senteret skal ivareta, blant annet arbeid mot IKT-kriminalitet og etablering av et laboratorium for datatekniske undersøkelser. 26 I likhet med initiativet fra Europol, vil det kommende INTERPOL Global Complex reise behov for at også norsk politi kan være en aktiv medspiller. Foto: Kripos 26 www.interpol.int/about-interpol/the-interpol- Global-Complex-for-Innovation 19

4 Arbeidsgruppen om veien videre 4.1 Innledning Arbeidsgruppen mener at når en sammenholder utviklingen innenfor elektroniske spor, IKTkriminalitet og kriminalitet på Internett (kapittel 2) med hvordan politiet møter disse utfordringene (kapittel 3), blir det mulig å si noe om veien videre. I dette kapittelet drøfter arbeidsgruppen hvordan politiet kan utnytte elektroniske spor (avsnitt 4.2), hvordan politiet kan bekjempe IKT-kriminaliteten (avsnitt 4.3) og hvordan politiet kan arbeide på Internett (avsnitt 4.4). Deretter drøftes noen felles problemstillinger rundt satsing og forebygging (avsnitt 4.5). Arbeidsgruppen ser videre på om det er noen fellestrekk vedrørende kompetanse og utstyr for de tre områdene (avsnitt 4.6). Deretter beskrives kort behov for måling og rapportering samt behov for eventuelle videre utredninger (avsnitt 4.7). Til slutt i dette kapittelet gir arbeidsgruppen uttrykk for noen helt overordnede synspunkter vedrørende temaet beredskap (avsnitt 4.8). Dette faller strengt tatt utenfor arbeidsgruppens mandat, men fremstår i dag som så viktig at gruppen valgte si noe om temaet. 4.2 Hvordan politiet kan utnytte elektroniske spor Elektroniske spor er både en form for kriminalteknikk og en etterforskningsmetode. Når man skal vurdere i hvilken grad teknikken bør benyttes, bør man gjøre en vurdering av nytte og kostnader. Den økende teknologibruken gjør at det vil foreligge elektroniske spor i et økende antall straffesaker. Dette gir politiet ikke bare utfordringer og kostnader, men også betydelige muligheter. I mange saker vil utnyttelse av elektroniske spor kunne lede raskere til målet. I noen saker vil de kunne være avgjørende for oppklaring av saken. I andre saker vil det ikke være riktig ressursutnyttelse å gjøre datatekniske undersøkelser. 4.2.1 Datatekniske undersøkelser i politidistriktene Elektroniske spor erstatter og supplerer andre bevis og blir stadig viktigere, sett i forhold til tradisjonell kriminalteknikk og andre etterforskningsmetoder. I kapittel 3.1 fremkommer det at datatekniske undersøkelser normalt bare foretas i noen av de mest alvorlige straffesakene og det kan synes som om det er noe tilfeldig når slike spor blir undersøkt. Flere politidistrikter etterlyste klarere retningslinjer fra sentralt hold med henblikk på utnyttelsen av elektroniske spor, både med hensyn til når datatekniske undersøkelser bør gjennomføres, hva slags kompetanse som kreves og hvilket utstyr distriktet bør ha. Ett distrikt ga også klart uttrykk for at det var vanskelig å prioritere området uten sentrale føringer. Det økte behovet for datatekniske undersøkelser kan løses på flere måter. Området kan naturligvis tilføres friske ressurser. En annen mulighet er å flytte ressurser fra de etterforskningsenhetene som etterspør datatekniske undersøkelser, for eksempel vold og sedelighet, over til dataetterforskning. En utfordring med en slik flytting av ressurser vil være at selv om politidistriktet satser mer på datatekniske undersøkelser, vil det fremdeles være behov for de gamle metodene. Dersom politidistriktet velger å foreta en slik flytting av ressurser, kan man samle de som jobber med datatekniske undersøkelser i en datakrimenhet. Slik kan et godt fagmiljø ivaretas. Databeslag gjøres normalt av generalistene i politiet, men langt fra alle har den kompetansen som skal til for å gjøre dette riktig. Dersom et databeslag håndteres feil når det tas, kan data bli endret eller gå tapt. Det er derfor behov for grunnleggende kunnskaper om hvordan databeslag skal håndteres og når man bør konsultere spesialiserte dataetterforskere. Det er vanligvis etterforsker og/eller påtaleansvarlig jurist som bestiller datatekniske undersøkelser. De som beslutter at slike undersøkelser skal gjøres, bør ha kunnskap og forståelse for hva slags informasjon det kan gi. Mangelfulle bestillinger kan føre til et dårligere utgangspunkt for å finne og levere relevant informasjon. Av og til er det nødvendig at dataetterforsker er med i aksjonsfasen, enten denne er planlagt eller oppstår akutt. Bakgrunnen er at man forventer å finne datautstyr det kan være nødvendig å få sikret umiddelbart og analysert så raskt som mulig. Dette gjelder særlig i mer alvorlige saker, herunder saker med ukjent gjerningsmann. I drapssaker vil det for eksempel kunne være helt avgjørende umiddelbart å få oversikt over hvem offeret sist har vært i kontakt 20

med på mobiltelefonen. God beredskap for datatekniske undersøkelser bidrar til raskere oppklaring av alvorlige straffesaker. De beste resultatene oppnås ved tett dialog mellom alle aktørene i saken. Flere politidistrikter har ansatt både dataingeniører og politiutdannede etterforskere med spesialutdannelse innenfor elektroniske spor, og satt disse til å arbeide sammen om datatekniske undersøkelser. Videre blir etterforsker og påtaleansvarlig trukket inn i arbeidet med datatekniske undersøkelser, gjerne også i en tidlig fase. Dermed unngås misforståelser og man kommer raskere frem til resultatet. Det er langt fra alle politidistrikter som har en slik organisering og bemanning innenfor arbeidet med datatekniske undersøkelser. Elektroniske spor er et godt konfrontasjonsmateriale i avhør. God organisering og riktig kompetanse gjør at man unngår at datatekniske undersøkelser blir en flaskehals i politiets arbeid. Datatekniske undersøkelser krever bruk av avansert teknologi. Jo mer avansert arbeidet er, jo større blir mulighetene for å gjøre feil. I enkelte straffesaker har domstolene og/eller forsvarer stilt spørsmål om dataetterforskerens faglige kompetanse, utdanning og erfaring. Samtidig engasjerer ressurssterke tiltalte egne private datatekniske sakkyndige for å imøtegå politiets bevis. Vi kan derfor forvente at det i flere sammenhenger vil bli krevd at politiet kan beskrive og dokumentere bedre den kompetansen og de metodene som er brukt. 4.2.2 Forholdet mellom politidistriktene og Kripos Datatekniske undersøkelser er basert på teknologier, som stadig endres. Ingen kan ha like god kompetanse på alt. Det finnes mange ulike typer enheter, lagringsmedier, dataprogrammer og tjenester. Økt bruk av kryptering og økende datamengder gir også nye utfordringer. Ved Oslo politidistrikt har dataetterforskerne spesialisert seg på ulike fagfelter. Slik arbeidsgruppen ser det, vil det neppe være realistisk at andre politidistrikter skal kunne løse alle oppgaver innenfor et så vidt teknisk komplisert område som også er i så rask endring. Distriktenes dataetterforskere bør ha god og oppdatert kompetanse på grunnleggende sikring og analyse, som kan støttes av supplerende og spesialisert kompetanse fra sentralt hold. Det kan stilles spørsmål ved om én til to dataetterforskere er tilstrekkelig for å møte disse kravene. Kripos har en egen enhet som har som primæroppgave å støtte distriktene i arbeidet med mer kompliserte datatekniske undersøkelser. Seksjonen gir også støtte til Kripos egne saker. Dersom politidistriktene i økende grad tar i bruk datatekniske undersøkelser, vil behovet for bistand også øke. Seksjonen bruker også betydelige ressurser på å utvikle metoder og teknikker i tråd med den teknologiske utviklingen. Ved økt bruk av datatekniske undersøkelser, vil behovet for å utvikle nye teknikker også vokse. I arbeidet med datatekniske undersøkelser bruker politiet mange ulike verktøy og metoder. Kripos har i noen tilfeller laget anbefalinger om hvilke verktøy og metoder som bør brukes. Området er så vidt komplisert at det ikke er mulig å bruke ett eller noen få verktøy og arbeidsmetoder. Det er på den annen side mulig å standardisere verktøy og metoder i større utstrekning enn i dag. I og med at vi snakker om et svært teknisk og komplisert saksområde, vil det kunne være hensiktsmessig å gi sentrale føringer på hvilke verktøy som skal benyttes, hvilke metoder som skal benyttes og hvilke retningslinjer som skal gjelde. Felles verktøy og metoder vil styrke rettssikkerheten, forenkle arbeidet og gjøre det enklere å dokumentere at undersøkelsene er gjort med tilstrekkelig kvalitet. Den teknologiske utviklingen medfører et behov for stadig fornyelse, også i politiarbeidet. Arbeidsgruppen vil fremheve at kontinuerlig satsing på utvikling av arbeidsmetoder er avgjørende for om man skal lykkes. Politidistriktene er entydig skeptiske til bruk av private firmaer til å gjennomføre datatekniske undersøkelser, i hvert fall i noe større omfang eller på bestemte områder. Bruk av private kan imidlertid være riktig og formålstjenlig på avgrensede og spesialiserte områder, hvor det ikke nødvendigvis er aktuelt at politiet utvikler egen spisskompetanse. Det kan også tenkes tilfeller hvor viktig bevismateriale i alvorlige saker krever kompetanse som norsk politi for øyeblikket ikke har. Et bedre alternativ vil ofte være å søke bistand fra teknologiske miljøer tilknyttet politiet i andre land, der disse har den kompetansen som søkes. 21

4.3 Hvordan politiet kan bekjempe IKTkriminaliteten 4.3.1 Innledning Den teknologiske utviklingen endrer også kriminalitetsbildet. Teknologi som kan benyttes i tilknytning til kriminalitet er lettere tilgjengelig og enklere å bruke. Erfaringer fra både Norge og andre land indikerer at IKT-kriminaliteten øker i omfang og blir mer internasjonalisert. Som eksempler kan tjenestenektangrep, nettbankbedragerier og identitetstyverier nevnes. Informasjon fra en etterforskning av datainnbrudd, databedragerier, skimming med videre, kan få betydning utover den enkelte sak. Ved å dokumentere modus og hendelser, vil politiet få bedre mulighet for etterforskning av seriesaker, og bedre faktagrunnlag for utforming av trusselvurderinger og strategier og annet forebyggende arbeid. 4.3.2 Hvor skal IKT-kriminalitet etterforskes? Det kreves ikke geografisk nærhet mellom fornærmede og gjerningspersonen for å begå IKT-kriminalitet. Lovbryteren kan befinne seg i ett land, fornærmede i et annet land og det kan være benyttet tjenester fra en lang rekke andre land. IKT kriminalitet kan ha flere fornærmede og disse fornærmede vil ofte være spredt på ulike steder. Dette reiser ikke bare spørsmål om hvilken part som har ansvaret for å etterforske IKT-kriminalitet, men også om hvilken løsning som er mest formålstjenlig i hvert enkelt tilfelle, ettersom det kan være mange parter som isolert sett har et ansvar for sin del av en større sak. Problemstillingene er imidlertid ikke ukjent fra andre typer kriminalitet, blant annet i seriesaker. Utgangspunktet i Norge i dag er at lovbrudd etterforskes av det politidistriktet hvor lovbruddet er begått. Men flere unntak fra denne hovedregelen finnes. Noen sakstyper er generelt besluttet sentralisert, mens andre saker kan overtas av berørte særorganer i praksis ØKOKRIM og Kripos. Det samme gjelder prinsipielt innenfor PSTs mandat, jf. PSTinstruksen. Arbeidsgruppen har vurdert om den tradisjonelle fordelingen av etterforskningsansvar er hensiktsmessig. IKTkriminalitet medfører noen unike utfordringer med å sikre bevis for straffeorfølgningen: Bevisene blir ofte raskt slettet eller endret, noe som medfører at de elektroniske sporene raskt blir kalde. Dermed svekkes også sannsynligheten for å oppklare saken. Oppklaring av kriminaliteten er avhengig av hurtig og treffende bevissikring. Uten en innledende sikring av nødvendige data, kan sporene raskt bli kalde. En annen problemstilling er som nevnt at IKTkriminalitet kan ha et betydelig antall ofre og gjerningspersoner. IKT-kriminalitet kan berøre en lang rekke personer, på tvers av landegrenser. Disse forholdene medfører at det er nødvendig å foreta etterforskningsskritt og bevissikring umiddelbart etter at anmeldelsen har kommet inn eller kriminaliteten på annen måte har blitt kjent for politiet. Hvis politiet lar anmeldelsen ligge, kan bevisene forsvinne. Uten innledende undersøkelser, blir det ikke mulig å finne ut av om den kriminelle handlingen er begått på ett eller mange steder, om gjerningspersonen befinner seg lokalt eller internasjonalt og om det er et profesjonelt angrep eller ikke. Uavhengig av om IKT-kriminalitet skal håndteres lokalt eller sentralt, bør det altså være en rutine at politiet straks foretar nødvendig innledende undersøkelser og bevissikring. Det er neppe aktuelt å sentralisere etterforskningen av all IKT-kriminalitet. Arbeidsgruppen mener at politidistriktene fortsatt må ha et ansvar for IKT-kriminalitet, og at kriminalitet med lokalt utgangspunkt fremdeles håndteres lokalt. Dette vil på den annen side kreve at politidistriktene enten selv aksjonerer umiddelbart eller får nødvendig bistand til dette. En mulig løsning kan være at politidistriktene melder fra om alle saker om IKT-kriminalitet til Kripos. En parallell kan være voldtektsgruppen ved Kripos, som ble etablert etter forslag fra det regjeringsoppnevnte voldtektsutvalget, NOU 2008:4. Denne gruppen får kopi av alle voldtektssaker som behandles av lokalt politi, og kan gi stedlig eller konsultativ bistand etter behov, samt overta saker. En slik løsning kan være et viktig bidrag til å gi Kripos den nødvendige oversikten for å kunne utarbeide trusselvurderinger med mer. Svakheten ved en slik meldeplikt er at den ikke nødvendigvis løser hovedutfordringen på området, nemlig at IKT-kriminalitet krever 22

umiddelbare undersøkelser og ofte også bevissikring for å få en indikasjon på omfang, hvem som er rammet, hvem de(n) kriminelle er og hvor kriminaliteten blir begått fra. Arbeidsgruppen vil også peke på muligheter som kan finnes i bedre samarbeid mellom politidistriktene. Det er ikke nødvendigvis dataetterforskeren som håndterer saker om IKTkriminalitet. Det er ofte vanlige etterforskere med ulik kompetanse. Kompetansen er ofte basert på erfaringer hentet fra saksarbeid, og erfaring fra ulike enkeltsaker og sakstyper gjør at etterforskere i ulike distrikter kan ha komplementær kompetanse. Med dette som utgangspunkt, kan ulike politidistrikter gjennom bedre samarbeid dra nytte av hverandres erfaringer. Til en viss grad skjer slikt samarbeid også i dag, men arbeidsgruppen mener dette kan utvikles og forbedres. 4.3.3 Etterretning, trusselvurderinger og kunnskapsbank Som følge av store mørketall på området er det helt avgjørende at politiet driver etterretning for å avdekke IKT-kriminalitet. Videre må Kripos ha ansvar i forhold til å utarbeide strategier og trusselvurderinger, holde seg oppdatert på internasjonale trender og teknologisk utvikling og være i forkant i forhold til metodeutvikling. Sentralt ansvar for metodeutvikling, retningslinjer for utstyr og arbeid, kan gi politiet en enhetlig standard. Det vil gi effektiviseringsgevinster, bidra til bedre rettssikkerhet og gjøre det enklere å imøtegå eventuelle innvendinger til politiets kompetanse, se også kapittel 4.1. 4.4 Hvordan politiet kan arbeide på Internett 4.4.1 Innledning Norsk politi skal beskytte samfunnet og verne om lovlig virksomhet, opprettholde orden og sikkerhet og verne mot alt som truer den alminnelige tryggheten i samfunnet. Politiet skal forebygge, avdekke og stanse kriminalitet. Disse pliktene beskrives i politilovens 2. Dette må også gjelde for Internett. Skal politiet kunne utføre sine pålagte oppgaver, er det en forutsetning at politiet er til stede på Internett. Den alminnelige handlefriheten åpner for at politiet kan patruljere i byens gater og møtesteder i uniform eller i sivil. Denne handlefriheten har politiet også på Internett. Politiet kan gå inn på nettet å se på all den informasjonen som befinner seg der som er åpent tilgjengelig. Det spiller ingen rolle hvor informasjonen befinner seg fysisk. Informasjonsmengden gjør at norsk politi må gjøre utvalg av hvilken informasjon som er relevant, på samme måte som politiet gjennom år har vurdert hvor og når det skal foretas patruljering. Politiets egen informasjon, tips fra publikum, anmeldelser samt innsatsen fra andre offentlige og private virksomheters for å forbygge og bekjempe kriminalitet, er avgjørende for at politiet skal lykkes med sine oppgaver. 4.4.2 Én tipstjeneste til forebygging og bekjempelse av all kriminalitet Det påpekes ofte at politiets patruljer på gatene gir publikum en trygghetsfølelse og gjør politiet mer tilgjengelig. Det legges til grunn at dette også gjelder på Internett. Som eksempel kan nevnes politiets arbeid mot seksuelle overgrep mot barn via Internett. I den grad politiet gjør undersøkelser og patruljerer nettjenester som benyttes av barn, vil dette kunne bidra til å redusere risikoen for at de utsettes for krenkelser. Samtidig er det slik at politiet, også i den virtuelle verden, er avhengig av hjelp fra befolkningen i arbeidet med å forebygge og avdekke kriminalitet. Som vi tidligere har nevnt, flyttes mange av aktivitetene i samfunnet seg til den virtuelle verden. Der samfunnet har sine aktiviteter, bør også politiet være. Uansett lovbrudd, er det mulig å ringe politiet ved akutte hendelser eller levere inn en anmeldelse. Ny teknologi bør gi mulighet for å kontakte politiet på nye måter. Mange vil nok oppleve det som lettere å sende en melding til politiet enn å ringe eller levere en anmeldelse. Det er i dag en tipstjeneste på www.politi.no. Den er forholdsvis lite kjent blant publikum og krever at man selv aktivt oppsøker den. En annen tipstjeneste er knytte til tjenesten Rød knapp, men den er begrenset til noen få typer lovbrudd. Arbeidsgruppen mener at en utvikling til en generell tipstjeneste for alle former for kriminalitet, kan være et godt og effektivt tiltak for å øke politiets synlighet. Det vil kunne gi politiet mer og bedre informasjon, og dermed bedre grunnlag for å forebygge og avdekke kriminalitet. 23

Noen av tipsene vil kunne kreve umiddelbar handling for politiet. Ved en eventuell etablering av en tipstjeneste som beskrevet må det tas høyde for dette. Man kan bygge videre på erfaringene fra etableringene av Rød knapp og tilsvarende tjenester i andre land. Det er viktig at regler om personvern ivaretas ved en eventuell etablering av en slik tipstjeneste. I så måte vil arbeidsgruppen peke på at Datatilsynet i 2010 besluttet å pålegge politiet å endre rutinene for lydopptak av telefonsamtaler til telefon 02800. Personvernspørsmål som kan oppstå i forbindelse med etablering av en tipstjeneste, bør vurderes i lys av dette. 4.4.3 Politiarbeid på Internett Politiarbeid på Internett omfatter uniformert patruljering, innhenting av informasjon fra åpne kilder, spore og sikre informasjon på nettet, samt etterforsking. Uniformert patruljering på nettet Politiet kan være til stede på Internett på en måte som gjør det synlig at det er politiet som er der. For eksempel kan en tjenestemann delta i diskusjonsfora og være til stede i sosiale medier med en identitet som synliggjør at vedkommende arbeider i politiet. Det kan være helt åpent, slik at man fremstår med fullt navn og stilling. Slike løsninger er benyttet blant annet i Finland ( Virtuella närpolisen på Facebook) og i Nederland, hvor flere tjenestemenn i politiet har offisielle profiler på Twitter. Alternativt kan profilen ikke knyttes til en bestemt person, ved at man benytter en identitet som bare sier at den er tilknyttet politiet. Formålet med slik tilstedeværelse er flersidig. Positiv profilering kan gi informasjon ut til publikum, øke sjansene for tips i spesifikke saker samt generelt senke terskelen for å kontakte politiet ved behov. Gjennom slikt arbeid kan en også forebygge kriminalitet, simpelthen ved at politiet er til stede. Et eksempel er møtesteder for barn på nettet. Tilstedeværelse vil redusere risikoen for seksuelt relaterte krenkelser. Politiet i Norge har begrenset erfaring med slik aktivitet, utover enkelte ad hoc-tiltak. Det er behov for å skaffe seg erfaring og utvikle gode metoder. En legger til grunn at dette er en type aktivitet som vil være i kontinuerlig endring og utvikling, etter hvert som ny teknologi utvikles og nye brukermønstre etableres. Arbeidsgruppen mener det kan være fornuftig å fordele ansvaret på dette området mellom politidistriktene og særorganene. I så fall bør det utarbeides retningslinjer for hvordan dette arbeidet skal utføres. Det vil være nødvendig å bygge kompetanse over tid og kompetanseplaner kan være et godt virkemiddel. Om man skal patruljere Internett, bør dette være en styrt aktivitet basert på kunnskap og sentrale føringer. Publikum må kunne være sikre på at det faktisk er politiet som kommuniserer. For å redusere risikoen for at noen urettmessig skulle utgi seg for å representere norsk politi, kan det etableres en form for autentisering. For eksempel kunne politiets synlige aktivitet på Internett beskrives på politiets nettsider, slik at de profiler politiet bruker lett kan verifiseres av publikum. Spaning og informasjonsinnhenting i åpne kilder på nettet Når stadig mer informasjon er tilgjengelig via Internett, og ikke nødvendigvis lenger er tilgjengelig andre steder, er det også nødvendig for politiet å kunne innhente informasjonen derfra. Arbeid med informasjonsinnhenting vil delvis kunne falle sammen med uniformert patruljering, som beskrevet over. En forskjell ligger i at når politiet skal foreta undersøkelser for å innhente informasjon, vil det ofte være hensiktsmessig at tjenestemannen ikke uten videre kan knyttes til politiet via sin profil eller IP-adresse. Behovet for å opptre i sivil på Internett er ikke forskjellig fra sivil spaning i politiets ordinære virksomhet. Arbeidsgruppen mener det ikke er eller bør være vesentlige forskjeller på hvordan politiet håndterer problemstillinger i den virtuelle verden fra hvordan de samme problemstillingene håndteres i andre sammenhenger. Det kan variere hvilken grad av anonymitet som er nødvendig i forhold til ulike arbeidssituasjoner. Politiet har behov for retningslinjer og standardmetoder for arbeidet, eventuelt også en form for koordinering av viktige elementer av arbeidet. Spore og sikre informasjon på nettet I alle typer straffesaker kan det være aktuelt å spore og sikre kommunikasjon og informasjon fra Internett. Sikring kan skje på ulike måter, avhengig av type informasjon som skal sikres. Dokumentasjon og etterprøvbarhet er nøkkelord knyttet til sikring av kommunikasjon og informasjon. For eksempel skal det kunne dokumenteres hvem som har sikret de aktuelle bevisene og når det skjedde. Denne type bevis er ofte flyktige, og det kan være vanskelig å gå 24

tilbake hvis det i ettertid viser seg at bevissikringen ikke var god nok. Infiltrasjon på nettet Infiltrasjon på nettet reiser flere av de samme spørsmål som infiltrasjon som etterforskningsmetode i andre sammenhenger reiser. Denne metoden brukes i dag bare i svært begrenset grad, og politiets erfaringer og kapasitet er tilsvarende begrenset. Imidlertid er behovet til stede. Et eksempel fra utlandet er FBI s etterforskning av kredittkortbedragerier, Operation Card Shop 27. Kripos har i dag et nasjonalt ansvar for metoden infiltrasjon på nettet. Det kunne være en fordel å tydeliggjøre ansvaret, eventuelt gjennom nasjonale retningslinjer for infiltrasjon på Internett, slik at framtidig arbeid kan gjøres på en best mulig måte. 4.5 Satsing og forebygging Nedenfor drøftes hvilket ambisjonsnivå politiet kan ha innenfor bekjempelsen av IKTkriminalitet og politiarbeid på Internett, samt hvordan kriminaliteten kan forebygges. 4.5.1 Hvilket ambisjonsnivå bør politiet ha for etterforskning av IKT-kriminalitet og arbeid på Internett? Like selvfølgelig som at norsk politi ikke kan patruljere hele Internett, er det at vi ikke kan overse Internett. Målsetningen må være at politiet skal håndheve lov og orden i det digitale samfunnet på en effektiv og sikker måte. Dersom politiet effektivt skal kunne forebygge og etterforske kriminalitet, må politiets evne til å være tilstede på Internett styrkes. Bruk av IKT er sentralt i bekjempelsen av Internettrelatert kriminalitet, men gjør seg også mer og mer gjeldende i forebygging og etterforskning av all type kriminalitet. Innhenting, bearbeiding og analyse av Internettrelatert informasjon og bevis vil være et viktig satsingsområde. For at politiet skal være i stand til dette, må det satses særskilt på styrking av metode og verktøyutvikling i et spesialisert miljø som kan drive kompetanseoverføring og bistand/støtte til forebygging og etterforskning. 27 www.fbi.gov/newyork/press-releases/2012/manhattanu.s.-attorney-and-fbi-assistant-director-in-chargeannounce-24-arrests-in-eight-countries-as-part-ofinternational-cyber-crime-takedown/ Spørsmålene om hvordan politiet skal patruljere Internett, hvordan Internett kan benyttes til spaning og etterretning og hvordan kriminalitet på Internett kan forebygges bør være en kontinuerlig prosess og kan neppe fastlegges en gang for alle. Denne prosessen er allerede påbegynt gjennom den satsingen på Internettrelatert etterforskningsstøtte som skjer ved Kripos. 28 Satsingen har som primærformål å gi bistand, drive metodeutvikling og sørge for kompetanseoverføring. Prosjektet skal etablere en funksjon i Kripos som har ansvar for internettrelatert etterforskningsstøtte og som kan gi bistand til politidistriktene. Behovet for en særskilt satsing på Internettrelatert etterforskning ble særlig tydelig i forbindelse med 22/7-saken. Arbeidet har betydning for flere av politiets oppgaver, både forebyggende arbeid, operativt arbeid og iretteføring av straffesaker. Arbeidsgruppen mener dette arbeidet bør videreføres og styrkes. Satsingen ved Kripos omfatter også en mindre styrking av Seksjonen for Datakrimetterforskning. Det er denne seksjonen som har og vil ha et hovedansvar for bekjempelse av den alvorlige IKT-kriminaliteten i Norge. Arbeidsgruppen er positiv til den satsingen som har skjedd, og mener den bør videreføres og styrkes. 4.5.2 Forebygging av IKT-kriminalitet og kriminalitet på Internett Forebygging innebærer å iverksette tiltak som er egnet til å hindre at kriminalitet skjer. Den viktigste faktoren for å forebygge IKTkriminalitet er å ha kunnskap om hvorfor og hvordan den skjer, og at denne kunnskapen formidles og deles med de aktørene som kan gjøre noe med årsaken til at IKT-kriminalitet i det hele tatt er mulig. IKT-kriminalitet utgjør et sammensatt bilde, med mange typer krenkelser. Både internasjonale og norske erfaringer, indikerer at gode samarbeidsrelasjoner mellom ulike offentlige og private parter, derunder NSM, kan bidra til å forebygge kriminalitet. Det ligger et betydelig potensial i forbedret koordinering og mer samarbeid mellom ulike virksomheter. Det bør derfor etableres faste samarbeidsstrukturer mellom de aktørene, offentlige som private, som er berørt av IKT-kriminaliteten. Internasjonal koordinering og internasjonalt samarbeid er helt 28 Jf. Plan for forebygging og bekjempelse av internettrelatert kriminalitet, Kripos 1. mai 2012. 25

nødvendig for å lykkes i forebygging av IKTkriminalitet. Et annet viktig moment er å bevisstgjøre brukerne av IKT-systemene. Det er mange som har interesse i at brukerne og systemeiere bevisstgjøres om sikkerhetsrutiner, aktuelle trusler, og forsvarlig internettbruk. Forebygging kan være mer effektivt enn etterfølgende etterforskning og skadebegrensende arbeid for øvrig. Derfor er det viktig at politiet bidrar i et bredt samarbeid mellom berørte offentlige og private aktører, i og utenfor Norge. Bedret datasikkerhet og rutiner som i bedre grad sikrer elektroniske spor i tilfelle IKT-kriminalitet, vil være viktige bidrag. Mange eiere av IKT-systemer har ikke god nok sikkerhet. Dette gjelder privatpersoner så vel som næringslivet. Men også parter med god sikkerhet kan utsettes for datakriminalitet. Nye og tidligere ukjente sårbarheter kan utnyttes. Samlet sett er dette ikke bare et problem for den enkelte eier, men for hele samfunnet. Informasjon som har betydning for industri og arbeidsplasser kan gå tapt og tap av personlig informasjon kan medføre kostnader og ulemper, ikke bare for den enkelte, men også for samfunnet. Både politiet og systemeierne har behov for et oppdatert trusselbilde og ajourførte kunnskaper om aktuelle typer lovbrudd og modus for disse Slik kunnskap øker mulighetene for kompetansebygging og gir grunnlag for å fastsette riktig sikkerhetsnivå for ulike systemer. I dag foreligger det ikke en nasjonal strategi for cybersikkerhet, men det bør uavhengig av dette kunne utvikles en strategi for bekjempelse av IKT-kriminalitet hvor både politiets og systemeiernes rolle og ansvar defineres. Forebygging av IKT-kriminalitet handler imidlertid ikke bare om overordnede strategier og de mest alvorlige sakene. Forebyggende arbeid mot IKT-kriminalitet kan utvikles ut fra de ulike typer forebyggende arbeid som politiet utfører allerede i dag. Et eksempel kan være politiets forebyggende arbeid i ungdomsmiljøer. Innbrudd på andres konto i sosiale medier, identitetstyveri og mobbing på Internett øker. Det er kanskje mulig at både de som begår slike lovbrudd, og de som er fornærmede ved slike handlinger, ikke alltid har det klart for seg i hvilken grad og omfang slike handlinger rammes av straffebestemmelser. Gruppen antar at det kan gi en positiv effekt hvis politiets generelle forebyggende arbeid, også kan knytte seg til barn og unge på Internett, for eksempel ved å være til stede i sosiale medier. Kunnskapsstyrt politiarbeid, blant annet ved bruk av strategiske analyser og trusselvurderinger, vil være sentralt for å forebygge og bekjempe IKT-kriminalitet og kriminalitet på Internett. 4.6 Kompetanse og utstyr Det er to ting arbeidsgruppen mener er felles for elektroniske spor, IKT-kriminalitet og politiarbeid på Internett. Oppgaveløsingen krever teknologisk innsikt og bruk av datautstyr. Hvor god denne innsikten må være og hvilket utstyr som trengs, avhenger naturlig nok av hvilken kompleksitet arbeidsoppgaven har. 4.6.1 Kompetanse Arbeidsgruppen mener det er behov for forskjellige typer kompetanse innenfor elektroniske spor, IKT-kriminalitet og politiarbeid på Internett. Nedenfor beskrives kompetansebehovet i tre nivåer, generalistene, spesialistnivå i politidistriktene (dataetterforskere) og nasjonalt spesialistnivå. Generalisten har behov for grunnleggende kompetanse om teknologi og de muligheter og utfordringer bruk av teknologi gir i forbindelse med kriminalitetsbekjempelsen. Kunnskap om hvordan datautstyr, mobiltelefoner og annet teknisk utstyr kan bidra til å oppklare en sak blir viktigere i fremtidig politiarbeid. Teknologien kan brukes til å forebygge kriminalitet og i redningsoperasjoner og andre nødsituasjoner. Polititjenestemannen bør vite hva han skal gjøre med teknologisk utstyr som finnes på et åsted eller ved en pågripelse. Han eller hun bør også ha kunnskap om de enkleste formene for sikring og uttak av informasjon fra utstyret som det kan være behov for i en akuttfase. Det synes derfor å være et behov for at teknologi og teknologibruk i politiet får en større plass i grunnutdanningen. Dette behovet for kompetanse bør kunne ivaretas gjennom grunnopplæringen ved PHS, slik samtlige politidistrikter i undersøkelsen etterlyste. Lokale spesialister (dataetterforskere) Moderne politiarbeid krever at politiet er i stand til å utnytte de mulighetene som ligger i teknologien og på Internett. Politidistriktene må bekjempe IKT-kriminalitet på linje med annen kriminalitet. Skal disse målsettingene nås, bør politidistriktene være i stand til å utnytte elektroniske spor i politiarbeidet, kunne 26

håndtere alminnelig og lokalt forankret IKTkriminalitet og utnytte mulighetene som etterforskning på Internett gir. Det er arbeidsgruppen oppfatning at oppgaveløsningen på områdene ikke kan løses av teknologer eller av politiutdannede alene, men krever tverrfaglighet. Teknologens kompetanse blir utilstrekkelig i forhold til de strenge krav som stilles til notoritet og kvalitet i en etterforskning, mens politifaglig kompetanse alene kommer til kort på det teknologiske feltet. Kompetansebehovet på dette nivået kan dekkes i to hovedlinjer. Den ene linjen kan være et tilbud for teknologer og tjenestemenn om videreutdanning innen elektroniske spor, IKTkriminalitet og politioppgaver på Internett. Politihøgskolen tilbyr videregående opplæring som ikke fullt ut dekker dette i dag. Tilbudet ved PHS kan utvides slik at en også tilbyr videreutdanning innenfor tema som etterforskning av IKT-kriminalitet og etterforskningsmetoder på Internett. Det er også behov for tilbud om videreutdanning ved PHS, både for dataingeniører og politiutdannede i datatekniske undersøkelser. Den andre linjen kan være et tilbud om mer verktøyspesifikk og praktisk opplæring av kortere varighet, som ikke er en naturlig del av et studietilbud ved en høgskole. Slike opplæringstiltak bør politiet selv kunne utvikle, eventuelt at kurs gjennomføres gjennom leverandørene av de aktuelle verktøyene, slik det gjøres i dag. Arbeidsgruppen antar for øvrig at det vil være uproblematisk for Kripos og PHS å gå opp de mer detaljerte linjene i oppgavefordelingen for disse kompetansetiltakene. Nasjonalt spesialistnivå Det er en rekke utfordringer som ikke oppstår så ofte, men som krever spesiell kompetanse og/eller teknologisk utstyr som det ikke er formålstjenlig eller økonomisk forsvarlig at hvert politidistrikt besitter. Et eksempel på dette er rekonstruksjon av data fra ødelagte lagringsmedier. Denne type oppgaver er det antagelig mer hensiktsmessig at løses på nasjonalt nivå. På sikt kan det også være en løsning å utvikle spesialister i politidistriktene som kan dekke behovet for spesialkompetansen for flere politidistrikter i et regionalt samarbeid. Kompetansen man trenger på et nasjonalt nivå vil ofte være så spesiell at den må bygges gjennom et samarbeid med andre lands nasjonale datakrimenheter, og gjennom internasjonale utdanninger og kurs. Den teknologiske utviklingen går raskt og nye problemstillinger dukker opp hele tiden. Samtlige politidistrikter etterlyste en database for å dele kompetanse. Politiet har en elektronisk løsning for kompetansedeling i KO:DE (KOmpetanseDEling), men innholdet der er ikke tilstrekkelig utviklet på disse områdene. Kripos kunne eventuelt gis i oppdrag å videreutvikle KO:DE både innholdsmessig, og med hensyn til funksjonalitet. Det bør også vurderes om den plattformen som benyttes for KO:DE er den beste for dette formålet. I intervjuene med politidistriktene ble de nasjonale fagkonferansene som Kripos arrangerer, trukket frem som en viktig arena for kompetansedeling. Denne arenaen kan Kripos videreutvikle i tråd med politidistriktenes behov. Én måte å overføre kompetanse fra Kripos til politidistriktene, kan være gjennom hospiteringer. Både Kripos og politidistriktene fremhever at man har gode erfaringer med hospitering, både fra distriktene til Kripos og fra Kripos ut i distriktene. Slik hospitering bidrar til å heve nivået ute og sørge for at Kripos opprettholder tilstrekkelig kompetanse på mer alminnelige problemstillinger. Kontakt med eksterne miljøer, blant andre Høgskolen i Gjøvik og fagmiljøer i utlandet, kan supplere øvrige kompetansetiltak. Politiets tilstedeværelse på Internett vil få økende betydning i forebygging og bekjempelse av all type kriminalitet. Alle politidistrikter og særorganer bør derfor ha et minimum av generell kompetanse på metode, verktøy og juridiske rammer. For å oppnå denne kompetansen, bør en sentral enhet sørge for å være en premissleverandør for politiets arbeid på Internett. Kompetanse om hvordan elektroniske spor kan utnyttes, hva som foregår av IKT-kriminalitet og hvilke muligheter politiet har på Internett er viktig i alle ledd i politiet. Ledere som fatter beslutninger om prioriteringer, bemanning og organisering vil ha god bruk for denne kunnskapen. 4.6.2 Utstyr Arbeid med elektroniske spor, datatekniske undersøkelser, politioppgaver på nett og etterforskning av IKT-kriminalitet krever spesialutstyr og spesialisert programvare. Det er 27

stor variasjon mellom utstyret som kreves for å sikre og tolke data fra en mobiltelefon og utstyret for sikring og undersøkelse av innholdet på en harddisk fra en datamaskin. Dette gjelder både prismessig og krav til kompetanse for riktig bruk. Arbeidsgruppen har gjennom intervjuene med politidistriktene og særorganene fått kunnskap om at det i stor grad benyttes utstyr fra de samme leverandørene og programvareprodusentene for sikring og tolking av data fra mobiltelefoner. Dette er noe annerledes for undersøkelse av innhold på annet databeslag, men de kostbare hovedverktøyene som benyttes er de samme også for slik undersøkelse. Det kan være et kostnadseffektivt tiltak å etablere en sentral koordinering av innkjøps-, vedlikeholds- og oppgraderingsavtaler for det spesielle utstyret som er enhetlig for fagområdene og enhetene som arbeider med det. Et slikt tiltak vil sikre politidistriktene tilgang på rett utstyr og vedlikehold og oppgradering av utstyret i tillegg til rett pris. Samkjøring av utstyrs- og programvareavtaler vil også kunne gi kvantumsrabatter i mange tilfeller. Tilsvarende vil samordning av kurs og opplæring kunne gi besparelser. Kurs kan holdes i Norge, i stedet for at deltakere fra ulike politidistrikter enkeltvis deltar på kurs i utlandet. Enkelte har fremmet ønske om en sentral lagringsløsning for politiets databeslag, i motsetning til dagens løsning med lokale masselagre, eller lagring på separate disker/tape. ØKOKRIM opplyste at de antagelig har et samlet lagerbehov som er større enn alle politidistriktene sammenlagt. Arbeidsgruppen er av den oppfatning at felles innkjøp, vedlikehold og oppgradering av teknisk utstyr og programvare kan gi direkte kostnadsbesparelser for etaten. Felles løsninger kan også være et bidrag til å øke teknologiforståelsen i politiet og forbedre utnyttelsen av elektroniske spor. I første omgang bør det utredes om politiet skal etablere et sentralt masselager for oppbevaring av databeslag. 4.7 Måling, rapportering og videre utredninger Det er behov for bedre måling og rapportering på dette saksområdet, som på mange områder i politiet. For IKT-kriminalitet, er ikke alltid STRASAK-kodene helt passende på hver enkelt sak, og det er risiko for feilregistreringer. Politidistriktene peker på at saksområdet trenger forbedrede innrapporteringsrutiner. Mangelfull rapportering kan lede til uriktige beslutninger. Nye sakskoder kan være et tiltak, et annet tiltak kan være moduskoder knyttet til kriminalitet hvor IKT brukes som verktøy, slik at også saker som faller utenfor sakskodene for IKT-kriminalitet kan fanges opp. Selv om mange av disse utfordringene antagelig vil bli løst i arbeidet med nye straffesakssystemer, kan det være behov for å se på dette nå. Bedre informasjon vil gi Politidirektoratet og Justisdepartementet bedre informasjonsgrunnlag og bedre styringsmuligheter. Enkelte spørsmål faller utenfor arbeidsgruppens mandat, og bør vurderes videre utredet. Som sagt ovenfor bør det utredes om politiet skal anskaffe et sentralt masselager for databeslag. Det er under etablering et nærmere samarbeid mellom politiet og næringslivet. IKT-kriminalitet bør stå sentralt i dette samarbeidet. Arbeidsgruppen har måttet avgrense mot å se på hvordan grensesnittet mellom de ulike offentlige aktører innenfor IKT-sikkerhet bør være. Det er behov for snarlig avklaring av flere av disse spørsmålene. 4.8 Beredskap og etterforskningsberedskap Etter hendelsene 22.7 har det, både ved Kripos og ved Oslo politidistrikt vært undersøkt en lang rekke elektroniske spor og foretatt et betydelig etterforskningsarbeid på Internett. Større hendelser som naturkatastrofer og større ulykker kan forekomme i alle politidistrikter. I den senere tid har vi opplevd omfattende og alvorlige dataangrep som kan berøre flere politidistrikter og flere land. Politiet har en sentral rolle i å ivareta samfunnets sikkerhet, og er en sentral aktør i samfunnets beredskap mot store ulykker, naturkatastrofer og terror. Stortingsmelding om samfunnssikkerhet 29 gir i kapittel 9 en redegjørelse om hvordan regjerningen vil ivareta den nasjonale IKTsikkerheten. I meldingen påpekes det at datakriminalitet er i kraftig vekst og at både Norge og andre land har opplevd alvorlige angrep på IKT-systemer de senere årene, i tillegg til annen datakriminalitet. Under punktet 29 Meld. St. 29 (2011-2012) Samfunnssikkerhet 28

"Styrke innsatsen mot datakriminalitet" står følgende: " Politiet på sin side står overfor store utfordringer. Det er en utfordring at polititilstedeværelsen på nettet ennå ikke er god nok. Kriminalitet begått på Internett er derfor vanskelig å avdekke. Politiet er i stor grad avhengig av publikumstips og anmeldelser. I tillegg unngår mange å anmelde datakriminalitet, ifølge mørketallsundersøkelser. Bekjempelsen er også utfordrende fordi sakene ofte er tidkrevende og grenseoverskridende både nasjonalt og internasjonalt, samt at det er store forskjeller i de 27 politidistriktene med hensyn til politiets kompetanse, kapasitet og spesialisering innen datakriminalitet " (Meld S 29 (2011 2012) punkt 9.3) Dette temaet bør antagelig utredes langt mer inngående. Som et utgangspunkt mener arbeidsgruppen det bør vurderes om politiet bør ha et minimum av beredskap for politiarbeid på Internett og håndtering av elektroniske spor. Det vil være av stor betydning å raskt kunne innhente og håndtere elektroniske spor i nødsituasjoner, ved ulykker og redningsoperasjoner. Dette gjelder også ved alvorlige og omfattende angrep på IKT-systemer. Vedrørende sistenevnte, er det nødvendig å se på arbeidsdelingen mellom politidistriktene, Kripos og PST. Videre vil det være nyttig å ha en beredskap for etterforsking av store, og alvorlige hendelser, herunder terror. En god beredskap forutsetter at dataetterforskere er tilgjengelig for sporing og sikring av elektroniske spor 24/7. I alvorlige straffesaker har politidistriktene en beredskap for å sikre tradisjonelle kriminaltekniske spor. Det bør være like naturlig å tenke sikring av elektroniske spor som det er naturlig å tenke sikring av tradisjonelle kriminaltekniske spor. Informasjonsinnhenting og kartlegging i en tidlig fase vil være helt avgjørende for de veivalg etterforskningen tar og i mange tilfeller avgjørende for saksbehandlingstid og oppklaring. Arbeidsgruppen mener det vil være et steg i riktig retning å utvide etterforskningsberedskapen til også å omfatte elektroniske spor. Beredskapsnivået bør være det samme som for tradisjonell kriminalteknikk, med tanke på viktig sporsikring tidlig i initialfasen av en etterforskning eller undersøkelse. Foto: Kripos 29