Politiet må forstå feilkilder i dataetterforskning

Politiet og rettsvesenets manglende forståelse for digital etterforskning kan føre til feilaktige pågripelser og i verste fall uriktige domfellelser, ifølge forsker.

KONTEKST VIKTIG: Kontekst og forhåndsinformasjon påvirket i høy grad hvilke funn etterforskerne gjorde.

Av Silje Pileberg

Digitale spor inngår nå i de fleste kriminalsaker, ifølge avisen The Guardian i rundt 90 prosent. Sporene er for eksempel fra mobiltelefoner, datamaskiner, smartklokker og GPS-er og de underbygger vitneforklaringer eller er i seg selv bærende bevis.

Men disse sporene tolkes så forskjellig blant dataetterforskere at det kan true rettssikkerheten, ifølge en ny studie.

Doktorgradsstipendiat Nina Sunde ved Politihøgskolen har sammen med forskeren Itiel E. Dror ved University College London avdekket at dataetterforskere kan tolke de samme digitale sporene svært ulikt. Ofte er det bare én dataetterforsker som jobber med en sak, og derfor kan konsekvensene bli alvorlige.

– Først og fremst vil jeg tro at det kan bli iverksatt tvangsmidler som det ikke er grunnlag for, som pågripelser eller ransakinger. I verste fall kan feil forbli uoppdaget og uskyldige bli dømt. Det er også en risiko for at skyldige går fri fordi dataetterforskeren ikke oppdager sporene, sier Sunde.

Les studien i tidsskriftet Forensic Science International: Digital Investigation

Grunn til bekymring

I studien ga forskerne den samme filen med beslaglagt datamateriale til 53 dataetterforskere. 44 av dem var i Norge.

De fikk en fiktiv, men realistisk case der en bedrifts lønnsopplysninger hadde blitt lekket og postet på en konkurrents nettside.

Så fikk de fire-fem timer på seg til å gjennomgå databeslaget og skrive en rapport. De ble instruert til å jobbe alene, og de kunne bruke utstyret og programvaren som de brukte ellers. Til slutt svarte de på en undersøkelse om hvordan de vurderte sporene de fant og hva de tenkte om skyldspørsmålet.

Forskerne undersøkte hvor konsistente etterforskerne var i sine funn, tolkninger og konklusjoner. De benyttet en metode med en skala fra 0 til 100, der alt over 80 regnes som konsistent (altså nokså likt), og alt mellom 67 og 80 regnes som diskutabelt. Høyeste score var 51.

ADVARSEL: Forsker Nina Sunde har avdekket store forskjeller på hva dataetterforskere finner av digitale beviser. – Skal man være oppdatert på ny teknologi vil det kreve svært mye tid og krefter av dataetterforskerne. Min hypotese er at effektiviteten derfor har fått en høyere prioritet enn kvaliteten, sier hun. Foto: Silje Pileberg

ADVARSEL: Forsker Nina Sunde har avdekket store forskjeller på hva dataetterforskere finner av digitale beviser. – Skal man være oppdatert på ny teknologi vil det kreve svært mye tid og krefter av dataetterforskerne. Min hypotese er at effektiviteten derfor har fått en høyere prioritet enn kvaliteten, sier hun. Foto: Silje Pileberg

Spor ble tolket ulikt

Et annet viktig funn i studien var at etterforskerne tolket bevismaterialet ulikt utfra hvilken informasjon de fikk

Én gruppe fikk vite at mistenkte hadde tilstått, en annen fikk vite at det trolig hadde skjedd et phishingangrep der mistenkte var blitt lurt til å gi fra seg informasjon. En tredje gruppe fikk en mer tvetydig kontekst, der de fikk opplyst at det var en pågående lønnskonflikt i firmaet, hvor den mistenkte sympatiserte med de ansatte. Slik fikk de et hint om at hun kunne ha motivasjon for å lekke lønnsopplysninger.

En fjerde gruppe var en kontrollgruppe som ikke fikk noen opplysninger.

– Det som slo veldig tydelig ut, var at de som fikk phishing-konteksten, fant betydelig færre spor enn de som fikk den tvetydige lønnskonflikt-konteksten. Dette tyder på at phishing-gruppen sluttet å lete etter flere spor tidligere de øvrige gruppene. De som fikk den tvetydige konteksten, lette lengst av alle.  

Du ser det du tror

Det var elleve sentrale spor i datamaterialet, og gruppene ble sammenlignet på hvor mange spor de fant. I gjennomsnitt rapporterte phishing-gruppen om 4,5 digitale bevis i rapportene sine, mens de som fikk den tvetydige konteksten rapporterte om 6,9.

– Vi konkluderer med at den kontekstuelle informasjonen har ført til bias, altså bekreftelsesfeller, hvor du ubevisst søker etter informasjon som bekrefter det du tror har skjedd. Det som ikke passer med det du tror, har du en tendens til å overse eller bortforklare.

Dette er et kjent fenomen i tolkningen av annet bevismateriale. For eksempel har flere forskere, blant annet Sundes medforfatter Itiel E. Dror, sett at eksperter kan endre sine konklusjoner når de får ny informasjon om konteksten rundt et fingeravtrykk.

Særlig bekymret for det man ikke vet

Sunde er selv mest bekymret for funnene som handler om spredningen i resultater blant etterforskere som fikk helt identiske forutsetninger.

Det positive er at digitale bevis sjelden står alene, mener hun.

– En straffesak står sjelden og faller kun på ett digitalt bevis. Noen feil kan bli synlige når man kryssjekker informasjonen opp mot andre bevis. Risikoen er derfor størst når mye står og faller på enkeltstående databevis.

TOLKES ULIKT: Digitale spor tolkes så forskjellig blant etterforskere at det kan true rettssikkerheten, ifølge en ny studie. Foto: Shahadat Rahman

TOLKES ULIKT: Digitale spor tolkes så forskjellig blant etterforskere at det kan true rettssikkerheten, ifølge en ny studie. Foto: Shahadat Rahman

Vanskelig å etterprøve

Det er påtalemyndigheten som vurderer om en mistenkt skal pågripes og om bevisene gir grunnlag for å ta ut tiltale.

– Utfordringen er at det er et stort gap i kunnskap mellom de som skriver datatekniske rapporter og de som leser og vurderer dem. Digitale spor omtales gjerne som objektiv informasjon, og uten tilstrekkelig kompetanse kan det være vanskelig å vurdere kvaliteten på det dataetterforskeren har gjort og kommet fram til.

Kvalitetssikringstiltak er derfor viktig for å forebygge og avdekke feil, og slike tiltak må gjennomføres av de som har tilstrekkelig kompetanse, mener Sunde.

Resultatet fra en masteroppgave av politioverbetjent Jørn Helge Jahren i 2020 tyder på at det omtrent ikke finnes slike kvalitetssikringstiltak i norsk dataetterforskning.

Må ha en kvalitetskontroll

Heller ikke en siktet persons advokat har umiddelbart tilgang på det materialet politiet har tatt beslag i. Advokaten kan dermed ikke etterprøve dataetterforskernes konklusjoner.

I de aller fleste tilfeller vil advokaten dessuten hverken ha kompetansen til å gjøre dette eller ressurser til å leie inn folk. 

– Vi har en overdreven tro på at maskiner skal være ufeilbarlige. Men vi glemmer at det sitter mennesker bak spakene, mener Sunde og legger til:

– Denne forskningen viser det annen forskning også har pekt på, nemlig at der det tas menneskelige beslutninger, finner du variasjon – og gjerne mer enn du tror. Vi kan ikke lenger kan legge en persons undersøkelser til grunn uten å gjennomføre en form for kvalitetskontroll. Dette handler tross alt om rettssikkerhet.

Bli bedre kjent med Nina Sunde