public

Vad innebär det att underrättelsearbetet inriktas?

Du läser en artikel om underrättelsearbete och mer specifikt en artikel om hur underrättelsearbetet styrs och vägleds genom inriktningar. Än mer specifikt beskriver artikeln tillämpning inom cyberdomänen. Inriktningen kan sägas

för 4 månader sedan

Senaste Artikel Cyberförsvarsdagen 2020 - Löpande anteckningar av Christoffer Strömblad public

Du läser en artikel om underrättelsearbete och mer specifikt en artikel om hur underrättelsearbetet styrs och vägleds genom inriktningar. Än mer specifikt beskriver artikeln tillämpning inom cyberdomänen.

Inriktningen kan sägas vara det som startar underrättelseprocessen. Inriktningen är att likställa med ett övergripande önskemål om en viss typ av kunskap som är av vikt för organisationens förmåga att fatta beslut.

Nyckelinsikter

En underrättelse (ex. skriftlig, muntlig) är resultatet av att någon, vanligtvis en beslutsfattare, behöver en viss information för att kunna fatta ett väl avvägt beslut angående något som är av vikt för denne. Detta något av vikt skulle exempelvis kunna vara vilka säkerhetsåtgärder som bör införas för att skydda verksamheten från cyberangrepp. Observera att dessa övergripande önskemål/behov inte alltid kommuniceras från den “högre orten”. Ibland är det helt enkelt nödvändigt att göra antaganden om vilken typ av information som behövs.

Utan riktning blir allt prioriterat, eller inget

Det är just detta önskemål eller behov (förmedlat eller inte) som anger inriktningen för underrättelsearbetet. Utan en inriktning finns det ingen fråga att besvara och då är all information relevant, eller inte. Inriktningen är således nödvändig för att arbetet i stort ska kunna genomföras fokuserat. Indirekt innebär inriktingen även vilken typ av insamling som är nödvändig för att kunna besvara den överordnade frågan.

Exempel 1: IT-säkerhetschefen får vid ledningsmötet frågan om hur väl skyddad organisationen är från cyberangrepp. Chefen tar med frågan hem och ställer den till sina underrättelseanalytiker.

Frågan om skydd är bred och behöver brytas ned i mindre delar för att kunna besvaras. Men vi kan direkt börja bryta ner frågan i nya frågeställningar. När vi formulerar nya frågor flyttar vi inriktningen från inriktning till krav eller mer specifikt underrättelsekrav.

Anteciperande underrättelsekrav

Observera att det dock går att formulera underrättelsekrav utan inriktning. Då görs detta i ett anteciperande syfte där den insamling som kommer genomföras som resultat av kravet någon gång i framtiden kan komma att bli användbart.

Exempel 2: Kan skadlig kod kan använda steganografi för att dölja sig i exempelvis bildfiler (ex. JPG)? Hur skulle vi kunna upptäcka detta?

I exempel 2 finns inget överordnat syfte eller behov av den efterfrågade informationen, men den kan komma att bli aktuell i framtiden om aktörer observeras använda steganografi i skadlig kod.

(Uppdatering: 2020-01-23): Cisco Talos har identifierat en RAT som använder steganografi för att dölja payloads i JPEG-filer[1].

Inriktning bryts ner i underrättelsekrav

När inriktningen är förmedlad blir det omedelbart nödvändigt att bryta ner denna i mindre delar. Exempelvis skulle nedan frågor vara lämpliga att kunna besvara:

Vilka frågor / underrättelsekrav som formuleras är i mångt och mycket styrt av inriktningen och ett resultat av erfarenheten hos analytikern.

Prioriterade underrättelsekrav (PIRs)

Frågorna blir snabbt många och det gäller att prioritera bland dessa. När vi prioriterar kan vi sägas skapa ett prioriterat underrättelsekrav (eng. priority intelligence requirement). PIRs är sådana krav som är av särskild betydelse för att kunna besvara den överordnade frågan. I vårt exempel är denna överordnade fråga hur väl skyddad organisationen är från cyberangrepp.

Ett PIR i vårt fall skulle exempelvis vara punkt 1 och 4. Dessa bör prioriteras först eftersom insamling och förståelse för dessa är nödvändiga för att kunna besvara många av de övriga frågorna.

Sammanfattning

Denna artikel förklarade syftet med inriktningen av underrättelsearbetet och hur en sådan inriktning kan se ut. En inriktning är att likställa med ett önskemål om ökad kunskap (som för tillfället saknas) om ett område som är av vikt för den verksamheten i vilken önskemålet uppstått.

En inriktning är inte strikt sett nödvändig för att underrättelsearbetet ska kunna bedrivas. Men utan inriktning blir allt arbete anteciperande vilket innebär att all underrättelse som produceras endast kanske kan komma att bli användbart i framtiden. Detta eftersom den inte framställs som svar på ett faktiskt behov av kunskap.


  1. https://blog.talosintelligence.com/2020/01/jhonerat.html ↩︎

Du läser en artikel om underrättelsearbete och mer specifikt en artikel om hur underrättelsearbetet styrs och vägleds genom inriktningar. Än mer specifikt beskriver artikeln tillämpning inom cyberdomänen.

Inriktningen kan sägas vara det som startar underrättelseprocessen. Inriktningen är att likställa med ett övergripande önskemål om en viss typ av kunskap som är av vikt för organisationens förmåga att fatta beslut.

Nyckelinsikter

En underrättelse (ex. skriftlig, muntlig) är resultatet av att någon, vanligtvis en beslutsfattare, behöver en viss information för att kunna fatta ett väl avvägt beslut angående något som är av vikt för denne. Detta något av vikt skulle exempelvis kunna vara vilka säkerhetsåtgärder som bör införas för att skydda verksamheten från cyberangrepp. Observera att dessa övergripande önskemål/behov inte alltid kommuniceras från den “högre orten”. Ibland är det helt enkelt nödvändigt att göra antaganden om vilken typ av information som behövs.

Utan riktning blir allt prioriterat, eller inget…

Det är just detta önskemål eller behov (förmedlat eller inte) som anger inriktningen för underrättelsearbetet. Utan en inriktning finns det ingen fråga att besvara och då är all information relevant, eller inte. Inriktningen är således nödvändig för att arbetet i stort ska kunna genomföras fokuserat. Indirekt innebär inriktingen även vilken typ av insamling som är nödvändig för att kunna besvara den överordnade frågan.

Exempel 1: IT-säkerhetschefen får vid ledningsmötet frågan om hur väl skyddad organisationen är från cyberangrepp. Chefen tar med frågan hem och ställer den till sina underrättelseanalytiker.

Frågan om skydd är bred och behöver brytas ned i mindre delar för att kunna besvaras. Men vi kan direkt börja bryta ner frågan i nya frågeställningar. När vi formulerar nya frågor flyttar vi inriktningen från inriktning till krav eller mer specifikt underrättelsekrav.

Anteciperande underrättelsekrav

Observera att det dock går att formulera underrättelsekrav utan inriktning. Då görs detta i ett anteciperande syfte där den insamling som kommer genomföras som resultat av kravet någon gång i framtiden kan komma att bli användbart.

Exempel 2: Kan skadlig kod kan använda steganografi för att dölja sig i exempelvis bildfiler (ex. JPG)? Hur skulle vi kunna upptäcka detta?

I exempel 2 finns inget överordnat syfte eller behov av den efterfrågade informationen, men den kan komma att bli aktuell i framtiden om aktörer observeras använda steganografi i skadlig kod.

Inriktning bryts ner i underrättelsekrav

När inriktningen är förmedlad blir det omedelbart nödvändigt att bryta ner denna i mindre delar. Exempelvis skulle nedan frågor vara lämpliga att kunna besvara:

Vilka frågor / underrättelsekrav som formuleras är i mångt och mycket styrt av inriktningen och ett resultat av erfarenheten hos analytikern.

Prioriterade underrättelsekrav (PIRs)

Frågorna blir snabbt många och det gäller att prioritera bland dessa. När vi prioriterar kan vi sägas skapa ett prioriterat underrättelsekrav (eng. priority intelligence requirement). PIRs är sådana krav som är av särskild betydelse för att kunna besvara den överordnade frågan. I vårt exempel är denna överordnade fråga hur väl skyddad organisationen är från cyberangrepp.

Ett PIR i vårt fall skulle exempelvis vara punkt 1 och 4. Dessa bör prioriteras först eftersom insamling och förståelse för dessa är nödvändiga för att kunna besvara många av de övriga frågorna.

Sammanfattning

Denna artikel förklarade syftet med inriktningen av underrättelsearbetet och hur en sådan inriktning kan se ut. En inriktning är att likställa med ett önskemål om ökad kunskap (som för tillfället saknas) om ett område som är av vikt för den verksamheten i vilken önskemålet uppstått.

En inriktning är inte strikt sett nödvändig för att underrättelsearbetet ska kunna bedrivas. Men utan inriktning blir allt arbete anteciperande vilket innebär att all underrättelse som produceras endast kanske kan komma att bli användbart i framtiden. Detta eftersom den inte framställs som svar på ett faktiskt behov av kunskap.

Christoffer Strömblad

Publicerad för 4 månader sedan