IT-forensik (digital forensik) är disciplinen som handlar om att säkra, analysera och presentera digitala bevis från datorer, servrar, mobiler och molntjänster. Syftet är att rekonstruera händelser i IT-system vid exempelvis cyberattacker, dataintrång eller insiderhot.

Vad är skillnaden mellan IT-forensik och incidentrespons?

Incidentrespons fokuserar på att snabbt begränsa och åtgärda en pågående säkerhetsincident. IT-forensik handlar om att i efterhand säkra och analysera bevis för att förstå vad som hände, hur det hände och vem som var ansvarig. De överlappar ofta i praktiken.

Vilka verktyg används inom IT-forensik?

Vanliga verktyg inkluderar EnCase och FTK för diskanalys, Autopsy för filsystemsanalys (open source), Volatility för minnesforensik, Wireshark för nätverksanalys och SIEM-plattformar för loggkorrelation.

Varför är beviskedjan (chain of custody) viktig?

Beviskedjan dokumenterar varje steg i hanteringen av digitala bevis – från säkring till analys och rapportering. Om kedjan bryts kan bevisen ifrågasättas i en rättsprocess, vilket kan göra hela utredningen ogiltig.

Hur fungerar IT-forensik i molnmiljöer?

Molnforensik kräver anpassade metoder eftersom data är spridd över flera datacenter och jurisdiktioner. Det innebär avtal med molnleverantörer om loggåtkomst, användning av API:er för dataexport och kunskap om tjänster som Azure Activity Log och AWS CloudTrail.

Gå tillbaka

IT-forensik

Vad är IT-forensik?

IT-forensik – även kallat digital forensik eller datorforensik – är den disciplin som handlar om att säkra, analysera och presentera digitala bevis från datorer, servrar, mobiltelefoner, nätverk och molntjänster. Målet är att rekonstruera vad som hänt i ett IT-system: vem som gjorde vad, när det hände och vilken data som berördes.

Disciplinen används främst vid utredning av cyberattacker, dataintrång, insiderhot, bedrägeri och brott mot regulatoriska krav. IT-forensik spelar en avgörande roll både i brottsutredningar och i organisationers interna incidenthantering.

Hur fungerar en IT-forensisk utredning?

En IT-forensisk utredning följer en strikt metodologi för att säkerställa att bevis är tillförlitliga och juridiskt hållbara. Processen kan delas in i fyra huvudfaser:

Identifiering och säkring – Relevanta datakällor identifieras: hårddiskar, servrar, e-postsystem, loggar, mobiltelefoner och molnmiljöer. Data säkras genom att skapa forensiska kopior (images) utan att originalet förändras.
Bevarande av beviskedjan (chain of custody) – Varje steg dokumenteras noggrant för att bevisa att bevis inte manipulerats. Detta är kritiskt om ärendet ska hålla i domstol.
Analys – Forensikern undersöker den säkrade datan: raderade filer, loggfiler, tidsstämplar, nätverkstrafik, registernycklar och metadata. Specialverktyg som EnCase, FTK och Autopsy används ofta.
Rapportering – Resultaten sammanställs i en rapport som beskriver fynd, metodik och slutsatser. Rapporten ska vara begriplig för beslutsfattare och – vid behov – juridiskt gångbar.

Vanliga användningsområden

IT-forensik tillämpas i en rad scenarier:

Incidentrespons – Efter en cyberattack eller ett dataintrång används forensik för att fastställa attackvektorn, hur länge angriparen hade åtkomst och vilken data som exponerats. Arbetet sker ofta i samarbete med organisationens SOC eller CSIRT.
Insiderutredningar – Om en medarbetare misstänks för dataläckage, sabotage eller policybrott kan forensisk analys av arbetsstationer, e-post och molnlagring ge svar.
Rättsliga processer (e-discovery) – I civilrättsliga tvister kan digital bevisning vara avgörande. IT-forensik säkerställer att elektroniska bevis samlas in och presenteras korrekt.
Brottsutredningar – Polismyndigheter och åklagare använder IT-forensik vid utredning av allt från ekonomisk brottslighet till organiserad cyberkriminalitet.
Regelefterlevnad – Vid incidenter som berör personuppgifter kan forensisk analys avgöra om en rapporteringspliktig dataintrång har skett enligt GDPR eller NIS2.

IT-forensik i molnmiljöer

Molnet introducerar nya utmaningar för forensik. Data kan vara spridd över flera datacenter och jurisdiktioner, loggar kan ha begränsad lagringstid och organisationen har sällan fysisk tillgång till infrastrukturen. Molnforensik kräver därför anpassade metoder:

Avtal med molnleverantören om loggåtkomst och databevarande.
Användning av API:er för att exportera loggar och konfigurationsdata.
Kunskap om leverantörsspecifika tjänster som Azure Activity Log, AWS CloudTrail och Google Cloud Audit Logs.

Verktyg inom IT-forensik

Forensiska utredare använder specialiserade verktyg beroende på uppgift:

EnCase och FTK (Forensic Toolkit) – Kommersiella standardverktyg för diskanalys och bevishantering.
Autopsy / The Sleuth Kit – Open source-alternativ för filsystemsanalys.
Volatility – Minnesforensik (RAM-analys) för att identifiera pågående processer och malware som bara existerar i minnet.
Wireshark – Nätverksforensik och paketanalys.
SIEM-plattformar – Aggregerar loggar för korrelation och tidslinjeanalys.

IT-forensik och informationssäkerhet

IT-forensik är en integrerad del av en mogen informationssäkerhetsstrategi. Organisationer som investerar i forensisk beredskap (forensic readiness) kan reagera snabbare vid incidenter, begränsa skadan och stärka sitt försvar för framtiden. Det handlar om att ha rätt loggning på plats, bevara bevis proaktivt och ha tillgång till forensisk kompetens – internt eller via en partner.