Threat Inteliigence / OSINT / NETSEC / NATSEC

Kent i Heuer – korzenie CTI w tradycyjnym wywiadzie

Kamil Bojarski

Okres wakacyjny sprzyja nadrabianiu zaległości książkowych, na counterintelligence.pl przyjrzyjmy się więc tematowi nazwijmy to książkowo-historycznemu. Nie będzie żadną tajemnicą, że CTI jest dość raczkującą dziedziną. Nawet jeżeli spojrzymy na dystans jaki dzieli ochronę informacji jako taką od ochrony informacji w kontekście sieci komputerowych, to threat intelligence będzie jeszcze młodszą dyscypliną. O ile książka Cliffa Stolla The Cuckoo’s Egg w której autor opisał swoje śledztwo w sprawie włamania do sieci uniwersytetu gdzie pracował i którą możemy uznać za pierwszy opis analizy threat intelligence wyszła w 1989, to na sformalizowanie dyscypliny musieliśmy poczekać jeszcze jakieś 15 lat. Za symboliczną datę początku CTI jaki znamy dzisiaj przyjmuje się bowiem czasem 2004 rok i publikację przez Mandiant raportu opisującego działalność grupy APT1. Biorąc pod uwagę tak krótką historię dyscypliny nie może dziwić, że czerpie ona garściami z osiągnięć i odkryć jej „analogowych” przodków. W tym poście chciałbym więc przybliżyć dwie postaci i koncepcje ich autorstwa, które mimo tego, że pochodzą z zupełnie innego świata to są silnie osadzone we współczesnej praktyce CTI. Naszymi bohaterami będą Sherman Kent i Richards Heuer.

Zacznijmy od postaci której dokonania w dziedzinie wywiadu i analizy wywiadowczej są tak znaczące, że jest on często nazywany nawet „ojcem analizy wywiadowczej”. Mowa o Shermanie Kencie, który po ukończeniu Yale gdzie studiował w historię europejską zatrudnił się w Office of Strategic Services (OSS), które możemy uznać za poprzednika CIA. W trakcie wojny służył w owej organizacji w Dziale Badań i Analiz jako Szef Wydziału ds. Europy i Afryki. Zajmował się tam choćby przygotowaniami do Operacji Torch – inwazji aliantów na Afrykę Północną. Po wojnie ponownie zajmował się pracą akademicką na National War College i Yale, w tym okresie pisząc jedno ze swoich najbardziej znanych dzieł – Strategic Intelligence for American World Policy. Inspiracją dla napisania opracowania była chęć zapewnienia solidnych podstaw metodologicznych dla analityków zaczynających swoją zawodową przygodę z analizą wywiadowczą. I spośród wielu zajęć Kenta, to właśnie praca na rzecz metodologii analizy zapewniającej, że produkty wywiadowcze będą jak najbardziej wartościowe dla konsumentów miała największy wpływ na kształtowanie się praktyki CTI. Jeżeli spojrzymy choćby na post Katie Nickels w którym pisze ona o przykładowym planie dla nauki dla osób aspirujących do roli analityka CTI, to doktryna analityczna Kenta jest pierwszym punktem. Przyjrzyjmy się więc bliżej temu jakie zasady miał na myśli Sherman Kent mówiąc doktrynie analitycznej:

  1. Skoncentruj się na obawach decydentów – Kent ze względu na warunki w jakich pracował skupiał się oczywiście na pracy w sektorze rządowym i mówiąc decydentów miał na myśli decydentów politycznych, jednak zasada będzie miała zastosowanie niezależnie od naszego środowiska pracy. Pamiętajmy, że wywiad to funkcja doradcza i analitycy muszą unikać tworzenia produktów i ocen dla samego ich tworzenia. Zamiast tego, równie istotna jak analiza zebranych danych w celu przygotowania raportu, jest analiza tego jak owy raport może być wykorzystany przez naszych odbiorców i czy ułatwi ich pracę.
  2. Unikaj prywatnych poglądów co do kierunku polityki – zasada była dla mnie dość trudna do przetłumaczenia na język polski, jednak mam nadzieję że przekazałem jej istotę. Jako analityk mający wpływ na to jakie decyzje zostaną podjęte pokusą może być takie prowadzenie analizy aby ostateczny produkt wspierał decyzję, która będzie zgodna z naszymi prywatnymi poglądami. To jednak oczywiście może całkowicie zaburzyć nasz proces analizy, nie mówiąc już o tym, że odwołując się do pierwszej zasady, starając się narzucić swoje poglądy wychodzimy ze swojej analitycznej roli.
  3. Rygor intelektualny – Kent zwracał dużą uwagę na konieczność krytycznej i wnikliwej oceny faktów. Ocena ta musi uwzględniać ocenę źródła i kontekstu informacji oraz uczciwe podejście od luk w obrazie sytuacji.
  4. Świadomy wysiłek aby unikać błędów poznawczych – praca analityka jest niestety usiana pułapkami wynikającymi z podświadomej tendencyjności myślenia, szukania dróg na skróty i koniecznością oderwania się od naturalnego dla nas toku myślenia – choćby konieczności szukania dowodów przeciwko tezie, która wydaje nam się najbardziej właściwa. Dlatego też analitycy muszą przykładać równie dużą uwagę do unikania błędów poznawczych jak do przekazywania w produktach własnych przekonań politycznych i ideologicznych.
  5. Otwartość na inne poglądy i oceny – jednym z najważniejszych symptomów tego, że coś jest nie tak z procesem analitycznym jest to, że wszyscy analitycy zgadzają się co do oceny 🙂 Kent zalecał nie tylko dyskusje nad wnioskami, ale wręcz konfrontację poglądów i zestawianie ze sobą przeciwstawnych analiz. „Ścieranie” się analityków powinno bowiem prowadzić do lepszej oceny poszczególnych argumentów, a przez to bardziej dokładne analizy.
  6. Regularne wykorzystywanie zewnętrznych źródeł – analitycy powinni korzystać z jak najszerszego wachlarza zewnętrznych źródeł i analiz, szczególnie tych z którymi się nie zgadzają. Dodatkowo Kent był zwolennikiem angażowania się we współpracę biznesową, naukową czy akademicką w celu pracy z analitykami z innych ośrodków.
  7. Wspólna odpowiedzialność za ocenę – kiedy zespół analityków decyduję się już na dokonanie oceny, to powinna ona reprezentować stanowisko całego zespołu. Przedstawiając swoję produkty konsumentom, analitycy powinni prezentować jednolite stanowisko będące efektem procesu analitycznego.
  8. Efektywna komunikacja wspierająca podejmowanie decyzji – Kent zdawał sobie sprawę z konieczności zachowania balansu pomiędzy ograniczonym czasem jaki decydenci mają na zapoznanie się z produktami analizy, a koniecznością przekazania wszystkich istotnych szczegółów. Dlatego analitycy muszą dbać o styl wypowiedzi, unikając choćby zwrotów jak „możliwe”, „być może” które to w istocie nie przekazują żadnej wartości co do oceny sytuacji.
  9. Szczere przyznanie się do błędów – praca analityka jest szczególnie obarczona ryzykiem błędów co do oceny i prognozy sytuacji, choćby ze względu na niekompletny obraz sytuacji czy niewiarygodne źródła. Szczególnie istotne jest więc wykorzystywanie błędów i pomyłek jako okazji do poprawiania warsztatu analitycznego. Takie podejście wymaga jednak środowiska w którym analitycy czują się pewnie i nie bali przyznawać się do błędów.

Jak widzimy więc zasady Kenta mają charakter uniwersalny i równie dobrze sprawdzają się w klasycznym wywiadzie jak i jego wymiarze cyber. O ile jednak zasady doktryny Kenta mają ogólny i abstrakcyjny charakter, to analitycy CTI mieli na pewno jednak kontakt z bardziej konkretnym dziełem Kenta – słowami oceny prawdopodobieństwa. Jako zwolennik efektywnej komunikacji, Kent szybko zauważył problem wynikający ze stosowania niedookreślonych stwierdzeń mających opisywać prawdopodobieństwo wydarzeń i tego, że mogą wprowadzać dezorientację wśród odbiorców. Dlatego też zaproponował on przypisanie danych stwierdzeń do konkretnych szans na wystąpienie zdarzenia wyrażonych w procentach. Zaproponowane przez niego terminologia wyglądała więc następująco:

  • Pewne – 100% szans
  • Prawie pewne – 93% szans +/- 6%
  • Prawdopodobne – 75% szans +/- 12%
  • Równe szanse – 50% szans +/- 10%
  • Prawdopodobnie nie – 30% szans +/- 10%
  • Prawie na pewno nie – 7% szans +/- 5%
  • Na pewno nie – 0% szans

W ten sposób, używając tych samych określeń w toku przygotowania produktu takiego jak raport, analityk ułatwia pracę swoim odbiorcom, którzy nie muszą domyślać się co autor miał na myśli stosując konkretne określenie i czy „prawie pewne” to co innego niż „prawdopodobne”.

W takcie swojej kariery Kent zastępcą dyrektora, a następnie dyrektorem Office of National Estimates i pierwszym przewodniczącym rady redakcyjnej czasopisma Studies in Intelligence. Artykuły tego wydawnictwa nie objęte klauzulą tajności są dostępne na stronie CIA. Kent zmarł w 1986, a w 2000 powstało Sherman Kent School for Intelligence Analysis w którym analitycy szlifują swoje umiejętności.

Kolejną postacią której pracę powinny być doskonale znane analitykom CTI jest Richards J. Heuer. Heuer zaczął pracę w CIA wkrótce po uzyskaniu licencjatu w zakresie filozofii i spędził 24 lata w Dyrekcji Operacji, zanim przeszedł do Dyrekcji Wywiadu. Jego zainteresowania w zakresie obiektywnej analizy i rozważania nad tym jak dochodzimy do konkretnych wniosków powodowane były m.in. analizą sprawy Yurija Nosenko – oficera KGB, który przeszedł na stronę Stanów Zjednoczonych, jednak jego współpraca z amerykańskimi służbami naznaczona była wątpliwościami co do szczerości jego intencji i tego czy jego zdrada nie była elementem operacji KGB. Swoje przemyślenia na temat sprawy przedstawił zresztą w końcu we wspomnianym już Studies in Intelligence, gdzie opublikował artykuł dotyczący analizy sytuacji w której mamy do czynienia z podstępem i próbami zmylenia analizy. W zakresie metodologii analizy wywiadowczej Heuer najbardziej znany jest z publikacji w zakresie strukturyzowanych technik analitycznych i unikania błędów poznawczych. Drugiemu z tych zagadnień poświęcił całą książką – Psychology of Intelligence Analysis. Autor zauważył w niej nie tylko to jak słabo nasz umysł jest przystosowany do obiektywnej i nieskażonej własnymi poglądami oceny informacji, ale też to że sama wiedza o błędach poznawczych nie jest zbytnią pomocą dla analityków. Co natomiast pomaga to stosowanie narzędzi i technik analitycznych w celu utrzymania w ryzach własnych podświadomych przekonań, które mogą wpływać na interpretację danych. Temu tematowi również poświęcona została publikacja Structured Analytic Techniques for Intelligence Analysis – którą Heuer napisał wraz z Randolphem Phersonem. Pozycja zawiera ponad pięćdziesiąt technik mających zastosowanie do całego procesu analitycznego zaczynając od generowania pomysłów, poprzez testowanie hipotez, aż do wsparcia decyzji. Przytoczenie nawet ich części to temat na całą serie postów, jednak jedna z nich zyskała szczególne uznanie analityków CTI. Mowa o analizie hipotez wykluczających się (analysis of competing hypotheses – ACH) czyli technice polegającej na niezależnej ocenie poszczególnych dowodów w kontekście wcześniej przyjętych hipotez. Symbolem techniki, a także najprostszym sposobem wyjaśnienia jak działa jest tabelka stanowiąca najważniejszy element procesu. W tabeli zapisujemy bowiem jak dowody odnoszą się do poparcie konkretnych hipotez co pozwala na przekrojowe spojrzenie na to jak silne poparcie dla danych hipotez mamy. Spójrzmy na przykład w którym analizujemy cztery hipotezy na podstawie czterech dowodów:

Dowody umieszczamy więc w kolumnie po lewej, hipotezy w górnym wierszy, a w komórkach wpisujemy czy dowód popiera (1), zaprzecza (-1) czy jest neutralny (0) wobec hipotezy. Oceniając dowody niezależnie dla każdej z hipotez możemy uniknąć nakładania na nie własnych preferencji co do poparcia określonej hipotezy. Dodatkowo tabela ułatwia ocenę wartości danych dowodów. W przykładzie powyżej możemy łatwo zauważyć, że dowód oznaczony numerem cztery w istocie nie ma znaczenia dla naszej analizy. Popiera każdą z naszych hipotez, więc jego usunięcie nie wpłynie na ostateczną ocenę co świadczy o jego niskiej wartości diagnostycznej. Opisując ACH bardziej formalnie, proces ma siedem faz:

  1. Tworzenie hipotez – najlepiej w warunkach burzy mózgów i zestawiając analityków o różnych poglądach powinniśmy wylistować wszystkie możliwe hipotezy. W ten sposób ograniczamy możliwości skupienia się na „ulubionych” i zatrucia procesu własnymi preferencjami już na samym początku.
  2. Dowody – następnie wypisujemy wszystkie dowodu popierające lub przeczące hipotezą.
  3. Diagnostyka – najważniejszy zdaniem Heuera krok w którym analityk ocenia jak dowody odnoszą się do hipotez starając się wykluczyć jak najwięcej z nich. Zamiast skupiania się na wszystkich dowodach odnoszących się do danej hipotezy, autor sugeruje odwrotne podejście – ocenę tego jak określony dowód odnosi się do kolejnych hipotez.
  4. Niezgodności – po ocenie dowodów analityk ocenia stopień zgodności poszczególnych hipotez z dowodami i eliminuje najbardziej niezgodne.
  5. Wrażliwość – analityk dokonuje oceny wrażliwości, czyli ocenia jak rezultat analizy zmieniłby się gdyby kluczowe dowody okazały się fałszywe bądź błędne.
  6. Konkluzje – na podstawie przeprowadzonego procesu, analityk przedstawia swoje wnioski, opisując dlaczego przyjął określoną hipotezę i dlaczego pozostałe zostały odrzucone.

Jak widzimy podstawowym założeniem Heuera było rozdzielenie procesu oceny hipotez i dowodów, co pozwala na ograniczenie zapewne najsilniejszego i najbardziej „kuszącego” błędu poznawczego – efektu potwierdzenia kiedy to oceniamy dowody w kontekście rozwiązania, które chcemy uzyskać. W CTI ACH jest często wykorzystywane w procesie atrybucji, który ze względu na swoją wielopłaszczyznowość i konieczność operowania na założeniach i niepełnej informacji jest szczególnie podatny na błędy poznawcze.

Heuer odszedł z Dyrekcji Wywiadu w 1979, jednak pracował przy różnych projektach jako konsultant do 1995 roku. W swojej pracy nie krył fascynacji psychologią poznawczą i twierdził, że dziedzina ta może być bardzo przydatna w opracowywaniu technik analizy wywiadowczej. Zmarł w Sierpniu 2018 roku.

Często powtarzam, że mam duże szczęście mogąc pracować w CTI. Wynika to nie tylko z tego, że mogę przełożyć swoje pasje i zainteresowania na pracę zawodową, ale też dlatego, że obserwowanie jak tworzy się i kształtuje się nowa dziedzina bezpieczeństwa to unikalna okazja. Nie zapominajmy jednak jak głęboki korzenie ma wywiad poza sferą cyber i jak bardzo „stoimy na ramionach gigantów” dokonując ocen co do źródła czy motywacji ataku. Nie zapominajmy więc o postaciach takich jak Kent czy Heuer, których praca stworzyła podwaliny metodologii aktualnej w czasach i okolicznościach o których żaden z nich zapewne nie śnił tworząc pierwsze szkice swoich koncepcji.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

pl_PLPolish
pl_PLPolish en_USEnglish