Att ta hjälp av modern teknik för att säkra spår vid utredningar har hjälpt polisen att klara upp många brott. Navet för den noggranna och avancerade jakten på digitala och elektroniska spår finns i Linköping, på nationellt forensiskt centrum, NFC.

Antalet IT-forensiker hos polisen har ökat under de senaste åren och eftersom det är en verksamhet som utvecklas i snabb takt kommer de att fortsätta växa. Den IT-forensiska verksamheten bedrivs vid NFC, i alla sju polisregioner samt vid polisens nationella operativa avdelning, Noa.

Carolina Nykvist jobbar sedan ett år tillbaka på NFC:s informationstekniksektion och framför allt med hårdvaruforensik. Hon läste till högskoleingenjör och gjorde sitt exjobb på NFC. Det var något som gav mersmak.

– Det var så jag hittade hit från början. Många vet inte att man kan jobba som IT-forensiker utan att vara forensiker från början. IT-forensiker kan du bli här genom att gå en internutbildning på plats, säger hon.

Efter att ha jobbat som programmerare valde hon att söka sig tillbaka till NFC. Att välja att bli IT-forensiker är ett beslut hon är nöjd med.

– För min del var det att jag ville känna att jag skapar mer nytta och bidrar till samhället. Jag var trött på att sitta vid ett skrivbord och programmera. Jag jobbade som fullstack-utvecklare och satt med mitt system, men jag kände att det inte gjorde skillnad i den verkliga världen. Så jag sökte mig hit.

Carolina Nykvist NFC 4.jpg

Reballing innebär att lödkulor noggrant placeras ut på kretsens paddar, ett arbete som görs innan en krets kan lödas fast på ett kretskort igen.

Carolina Nykvist NFC 5.jpg

Carolina kontrollerar skicket på den reballing som utförts. Mikroskopet ger ett tydligt detaljseende och gör att man kan se om lödkulorna har fått en bra placering.

Trivs i elektroniklabbet

En annan anledning var de möjligheter att arbeta med avancerad teknik som jobbet erbjuder.

– Jag ville jobba i ett elektroniklabb. Det kändes väldigt självklart för mig, särskilt efter exjobbet när jag fått reda på lite mer om NFC. Gillar man hårdvara finns det mycket praktiskt arbete med elektronik. Men även om man gillar mjukvara finns det mycket att göra, som att till exempel jobba med dekryptering.

"Gillar man hårdvara finns det mycket praktiskt arbete med elektronik"

När hon ska beskriva en arbetsdag säger hon att det vanligtvis är vanliga kontorstider, men vad man gör på jobbet varierar mycket.

– Vi jobbar med undersökning av beslagtagen IT-utrustning och får in olika saker från olika enheter inom polisen. Det kan vara mobiler som kastats i en sjö eller trasiga hårddiskar där vi tar ut allt vi kan och lämnar till utredarna, säger Carolina Nykvist.

Fordonsdata allt viktigare

Hon säger att mobiltelefoner är den vanligaste saken de får in eftersom samtliga mobiltelefoner tas om hand vid en husrannsakan. Men det finns många andra ställen där det går att leta digitala spår. Att extrahera och analysera användardata från fordon har blivit ett allt vanligare inslag.

– Oftast är man nyfiken på vad någon gjort eller var de har passerat. Vi tittar på tidsstämplar och positioneringsdata. Men det kan också vara kraschdata, det kollar man på om ett fordon varit med i en trafikolycka, och vill se om fordonet har färdats i för hög hastighet.

Carolina Nykvist NFC 6.jpg

En annan viktig process är wire bonding. Med den här maskinen, från österrikiska F&S Bondtec, används väldigt tunna trådar för att fästa elektriska ledningar mellan en integrerad krets och ett kretskort.

Det arbetet kan också ge tydliga och konkreta resultat. Carolina Nykvist tar en mordutredning i region Syd som exempel.

– Där hjälpte vi utredningen en stor bit på vägen genom att extrahera ett system från ett fordon. I extraheringen kunde vi hitta positioneringsdata med tidsstämplar och utredningen kunde med hjälp av detta förstå sig på hur fordonet hade rört sig. Det underlättade för att förstå sig på hela händelseförloppet.

Hur känns det när man vet att man hjälpt till att klara upp ett brott?

– Det är svårt att säga. Vi utreder inte, utan vi jobbar främst med att extrahera och skapa analysrapporter. Det är inte vi som letar bevis. Men ibland får vi in mobiltelefoner som vi inte har någon metod för att låsa upp. När vi då lyckas utveckla en metod för att knäcka lösenordet så blir utredarna väldigt glada eftersom mobiltelefonen kan ha en stor betydelse i utredningen. Då vet vi att vi kan ha hjälpt utredarna en bit på vägen, vilket känns väldigt bra.

Arbetet med IT-forensik handlar inte bara om att extrahera användardata från beslagtagen elektronik. Det finns även en grupp som jobbar med bild- och ljudjämförelser samt med annan bild- och ljudanalys. Där har ett nytt AI-verktyg blivit en stor hjälpreda i arbetet med att sålla i det digra bildmaterialet.

– Om man till exempel har ett daktningsfoto, så kan AI:n hitta den personen i övervakningsmaterial och det gör att vi kan spara många timmars letande, säger Carolina.

NFC193.jpg

IT-forensik handlar om mer än att extrahera användardata från beslagtagen elektronik. Bild- och ljudanalys är också en viktig del i arbetet.

Kollar sprängladdningar

Att göra funktionsanalyser är också en viktig del av jobbet. Ett konkret exempel på det är det som brukar förkortas IED, vilket står för improvised explosive device. I de fallen är IT-forensikernas uppgift att analysera huruvida en misstänkt bomb varit fungerande eller inte.

– Vi tittar på en tändanordning som skulle kunna få igång en bomb. Vi brukar få i uppdrag att se om den kan användas till det eller inte.

Att få vara på plats i elektroniklabbet var en av de saker som lockade Carolina Nykvist till jobbet på NFC, och där finns det gott om verktyg att jobba med, från väldigt enkla till betydligt mer avancerade.

"Vi tittar på en tändanordning som skulle kunna få igång en bomb"

– Vi har allt möjligt, allt från lödkolvar till varmluftsblås och en röntgenmaskin, säger hon och konstaterar att den senare bland annat används till att röntga kretskort.

– Vi har också en maskin för att göra chip-on och chip-off när en krets ska tas bort från ett kretskort. Det arbetet är till viss del automatiserat.

Carolina Nykvist NFC 2.jpg

Carolina Nykvist lämnade sitt jobb som fullstack-utvecklare för att bli IT-forensiker på NFC.

Vattentät mobilprocess

Många av verktygen används också för att kunna hantera mobiltelefoner eller annan utrustning som kastats bort och sedan fiskats upp i sjöar eller åar.

– Vi har tagit fram en metod på NFC för vattenskadade mobiler och vi har en väldigt hög success rate. Så länge mobilerna ligger kvar i ett kärl med samma vatten som de hittades i lyckas vi reparera nästan alla mobiler tack vare den här metoden.

Något förenklat innebär processen att man först rengör kretskort med isopropanol, det tvättas helt rent innan det läggs för att långsamt torka. Processen tar cirka 48 timmar.

Att Carolina Nykvist trivs på jobbet råder det ingen tvekan om, och hon ser gärna att fler söker sig samma väg. På frågan om vem som passar för att jobba med IT-forensik svarar hon:

– Så länge man är lite nördig, envis och nyfiken så passar man jättebra in här. Man måste ha tålamod för att hitta det man letar efter, och man har väldigt roligt och får mycket kompetensutveckling när man får vara i elektroniklabbet hela tiden. Det är riktigt kul.

Text: Joakim Arstad Djurberg och Magnus Aschan
Foto: Polismyndigheten

Sponsras av Polismyndigheten

polisen1.png

Den här artikeln sponsras av Polismyndigheten, som just nu söker ingenjörer och datavetare som vill jobba med it-forensisk bevisning. Det vill säga den bevisning som handlar om digitala spår och material som tros ha koppling till ett brott som utreds. Ofta säger man teknisk bevisning. Har du akademisk utbildning inom t.ex. elektronik, mjukvara, bild- och ljudanalys, eller är systemvetare – läs mer om vilka tjänster som finns lediga.