Du läser en artikel om underrättelsearbete och mer specifikt en artikel om hur underrättelsearbetet styrs och vägleds genom inriktningar. Än mer specifikt beskriver artikeln tillämpning inom cyberdomänen.

Inriktningen kan sägas vara det som startar underrättelseprocessen. Inriktningen är att likställa med ett övergripande önskemål om en viss typ av kunskap som är av vikt för organisationens förmåga att fatta beslut.

Nyckelinsikter

  • Inriktningen visar vilken kunskap som behövs men för tillfället saknas.
  • Inriktningen visar (ofta indirekt) vilken information som är viktig för en beslutsfattare.
  • Inriktningen bryts ner i underrättelsekrav.
  • Underrättelsekraven prioriteras och ger oss prioriterade underrättelsekrav (PIRs).
  • Utan inriktning blir allt prioriterat, eller inget…

En underrättelse (ex. skriftlig, muntlig) är resultatet av att någon, vanligtvis en beslutsfattare, behöver en viss information för att kunna fatta ett väl avvägt beslut angående något som är av vikt för denne. Detta något av vikt skulle exempelvis kunna vara vilka säkerhetsåtgärder som bör införas för att skydda verksamheten från cyberangrepp. Observera att dessa övergripande önskemål/behov inte alltid kommuniceras från den “högre orten”. Ibland är det helt enkelt nödvändigt att göra antaganden om vilken typ av information som behövs.

Utan riktning blir allt prioriterat, eller inget…

Det är just detta önskemål eller behov (förmedlat eller inte) som anger inriktningen för underrättelsearbetet. Utan en inriktning finns det ingen fråga att besvara och då är all information relevant, eller inte. Inriktningen är således nödvändig för att arbetet i stort ska kunna genomföras fokuserat. Indirekt innebär inriktingen även vilken typ av insamling som är nödvändig för att kunna besvara den överordnade frågan.

Exempel 1: IT-säkerhetschefen får vid ledningsmötet frågan om hur väl skyddad organisationen är från cyberangrepp. Chefen tar med frågan hem och ställer den till sina underrättelseanalytiker.

Frågan om skydd är bred och behöver brytas ned i mindre delar för att kunna besvaras. Men vi kan direkt börja bryta ner frågan i nya frågeställningar. När vi formulerar nya frågor flyttar vi inriktningen från inriktning till krav eller mer specifikt underrättelsekrav.

Anteciperande underrättelsekrav

Observera att det dock går att formulera underrättelsekrav utan inriktning. Då görs detta i ett anteciperande syfte där den insamling som kommer genomföras som resultat av kravet någon gång i framtiden kan komma att bli användbart.

Exempel 2: Kan skadlig kod kan använda steganografi för att dölja sig i exempelvis bildfiler (ex. JPG)? Hur skulle vi kunna upptäcka detta?

I exempel 2 finns inget överordnat syfte eller behov av den efterfrågade informationen, men den kan komma att bli aktuell i framtiden om aktörer observeras använda steganografi i skadlig kod.

Inriktning bryts ner i underrättelsekrav

När inriktningen är förmedlad blir det omedelbart nödvändigt att bryta ner denna i mindre delar. Exempelvis skulle nedan frågor vara lämpliga att kunna besvara:

  • Vilka är de vanligaste typerna av cyberangrepp?
    • Ransomware?
    • DDoS?
    • Trojaner?
    • Bedrägerier?
  • Finns det indikatorer på att cyberangrepp mot svenska verksamheter skiljer sig från de vanligaste typerna?
  • Vilka indikationer finns avseende stagnation eller förnyelse avseende ovan typer av cyberangrepp?
    • Kan organisationen förvänta sig väsentliga förändring inom de kommande 6-12 månaderna?
    • Om ja, vilken förändring kan vi förvänta oss att se?
  • Vilka är metoder förekommer oftast vid det initiala steget av ett cyberangrepp?
    • (Spear)phishing?
    • Giltiga inloggningsuppgifter?
    • Utnyttja sårbarheter i publika webb-applikationer?
    • Drive-by downloads?
  • Vilka branscher är utsatta för vilka typer av angrepp?
  • Vilka aktörer har visat intresse för vår verksamhets bransch?
  • Hur ska frågan besvaras?
    • Muntligt?
    • Skriftligt?
    • Kvantitativt?
    • Kvalitativt?
  • Hur länge kan nuvarande skyddsåtgärder antas vara relevanta och effektiva för att skydda verksamheten från cyberangrepp?

Vilka frågor / underrättelsekrav som formuleras är i mångt och mycket styrt av inriktningen och ett resultat av erfarenheten hos analytikern.

Prioriterade underrättelsekrav (PIRs)

Frågorna blir snabbt många och det gäller att prioritera bland dessa. När vi prioriterar kan vi sägas skapa ett prioriterat underrättelsekrav (eng. priority intelligence requirement). PIRs är sådana krav som är av särskild betydelse för att kunna besvara den överordnade frågan. I vårt exempel är denna överordnade fråga hur väl skyddad organisationen är från cyberangrepp.

Ett PIR i vårt fall skulle exempelvis vara punkt 1 och 4. Dessa bör prioriteras först eftersom insamling och förståelse för dessa är nödvändiga för att kunna besvara många av de övriga frågorna.

Sammanfattning

Denna artikel förklarade syftet med inriktningen av underrättelsearbetet och hur en sådan inriktning kan se ut. En inriktning är att likställa med ett önskemål om ökad kunskap (som för tillfället saknas) om ett område som är av vikt för den verksamheten i vilken önskemålet uppstått.

En inriktning är inte strikt sett nödvändig för att underrättelsearbetet ska kunna bedrivas. Men utan inriktning blir allt arbete anteciperande vilket innebär att all underrättelse som produceras endast kanske kan komma att bli användbart i framtiden. Detta eftersom den inte framställs som svar på ett faktiskt behov av kunskap.