Fox-IT vindt geen misbruik na forensisch onderzoek systemen DIVD

DIVD meldt dat het aan Fox-IT de volgende vragen gesteld:

1. Zijn (digitale) sporen aanwezig waaruit aannemelijk wordt dat door betrokkene de DIVD Code of Conduct is geschonden?

a. Is door betrokkene naar kwetsbaarheden in externe systemen gezocht die afwijken van hoe DIVD deze werkzaamheden normaliter zou uitvoeren?

b. Zijn door betrokkene scanresultaten of andere data gekopieerd naar een locatie buiten de DIVD-omgeving en waar kan dit worden gezien als afwijkend van legitieme DIVD- werkzaamheden?

c. Zijn door betrokkene activiteiten uitgevoerd op het serversysteem die wijzen op oneigenlijke toegang tot gegevens van DIVD?

DIVD heeft daarna het rapport ontvangen met daarin de conclusies van het onderzoek. Hier staat het volgende in:

• Fox-IT heeft geen sporen aangetroffen waaruit aannemelijk wordt dat de DIVD Code of Conduct door betrokkene is geschonden.
• Fox-IT heeft geen activiteiten geïdentificeerd waarbij onder het gebruikersaccount van betrokkene naar kwetsbaarheden is gezocht op externe systemen die ongewoon zijn voor DIVD.
• Fox-IT heeft geen activiteiten geïdentificeerd waarbij onder het gebruikersaccount van betrokkene data wordt gekopieerd naar een locatie buiten de DIVD-omgeving.
• Fox-IT heeft geen activiteiten geïdentificeerd onder het gebruikersaccount van betrokkene die wijzen op oneigenlijke toegang tot gegevens van DIVD.

Wel heeft Fox-IT een aantal verdachte activiteiten gezien die zijn uitgevoerd onder het account van de verdachte.

1. Er zijn timestomping-acties uitgevoerd;
2. De commandogeschiedenis is op bepaalde momenten uitgezet;
3. Er is een wachtwoordhash te zien in Metasploit-commandogeschiedenis.

DIVD heeft onderzoek gedaan naar deze activiteiten en in het huis van bewaring een gesprek gevoerd met de verdachte over deze bevindingen.

Naar aanleiding van activiteit 3 is DIVD tot de conclusie gekomen dat dit te rijmen valt met de DIVD zaak waar betrokkene op dat moment bij betrokken was (DIVD-2022-00055). We beschouwen deze activiteit als verklaard en niet verdacht: "In het gesprek met de verdachte over activiteit 1 en 2, heeft hij ons redelijke verklaringen gegeven voor deze acties. Ongeacht het feit of deze verklaringen geloofwaardig zijn of niet, zijn deze twee acties op zichzelf geen schending van de Code of Conduct en doen zij geen afbreuk aan de de conclusie van Fox-IT dat er sporen zijn waaruit het aannemelijk wordt dat de DIVD Code of Conduct door hem is geschonden. Op basis van het Fox-IT onderzoek en onze eigen vervolg op dit onderzoek, concluderen we dat er geen bewijs is dat de verdachte misbruik heeft gemaakt van DIVD systemen of informatie."