Riku Ruokolahti: Omdømme er en nøkkelkraft mot informasjonspåvirkning
Informasjonskrigføring utkjempes om folks sinn, og demokrati som system er basert på folks sinn. Det er nettopp derfor demokratiet og dets institusjoner er spesielt sårbare når en informasjonspåvirker slår til. Organisasjonens omdømme dannes igjen av de delte oppfatningene folk har av hver organisasjon. Denne artikkelen åpner opp for informasjon og cyberpåvirkning fra angriperens perspektiv og hvordan organisasjonens omdømme er relatert til saken.
Fra en cyberangripers perspektiv handler det fundamentalt om maskiner og mennesker og tillitsforholdene mellom dem, og mer spesifikt, misbruk av tillitsforhold til angriperens fordel.
La oss ta et eksempel. Du mottar en overraskende, men tilsynelatende harmløs melding fra barnets lærer. Meldingen handler om nyhetene i timen. Du ser ut til å ha svart på meldingen og nevnt ting relatert til barnets helse som læreren allerede vet om. Bortsett fra at hun ikke vet det. Hun vet ikke det fordi avsenderen av meldingen ikke er læreren, men en ondsinnet angriper som kjenner deg motbydelig godt. Du har nettopp avslørt mer personlig informasjon til henne ved å nevne barnets helsetilstand. Den neste meldingen inneholder et vedlegg relatert til nettopp denne helsetilstanden, som du åpner til tross for advarslene på maskinen. Selvfølgelig åpner du det. Svært få mennesker ville ikke gjort det.
Du gjettet riktig. Vedlegget er sofistikert skadelig programvare.
Angriperen i dette tilfellet har gjort researchen sin og forberedt angrepet sitt nøye. Han har utnyttet dine sensitive områder og tillitsforholdet mellom deg og læreren, og nå utnytter han datamaskinens tillitsforhold med administratoren sin. Som administrator åpnet du vedlegget til tross for advarslene. På dette tidspunktet har angriperen fått tilgang til datamaskinen din og utnytter tillitsforholdene mellom datamaskinens interne grensesnitt. Og når du først har fått tilgang med tillit, stiller ikke datamaskinen like lett spørsmål ved tillitsforholdene. Et sted i dypet av datamaskinen din finnes det en mindre kjent programmeringsfeil som angriperen fortsatt utnytter mellom programmene på datamaskinen din og arbeidsplassens interne nettverk. Det er et tillitsforhold mellom arbeidsplassens interne nettverk og datamaskinen din. Enten det er maskiner eller mennesker, er tillit kjernen i angriperens arbeid.
Hvis du opplever et så nøye forberedt angrep, har du sannsynligvis å gjøre med konfidensiell informasjon eller en organisasjon av interesse for angriperen. Det endelige målet for et avansert angrep er sjelden én enkelt person.
Som vi så fra det forrige eksemplet, er ikke cyberverdenen bare fokusert på å påvirke maskiner, men en sentral del av cyberangrep er også å gjøre narr av folk.
Dette leder oss komfortabelt til informasjonsmiljøet og videre til informasjonspåvirkning. Vi utviklet en gang en longitudinell studie hos T-Media som fordypet seg i finnenes verdier. Det var ikke et lettfattelig sett med spørsmål, men snarere hørte vi fra et bredt spekter av sentrale opinionsledere i kvalitative intervjuer (inkludert erkebiskopen, presidentinstitusjonen, statssekretæren, innflytelsesrike personer innen kultur- og kunstsektoren, pensjonistorganisasjoner, fagforeninger, tenketanker, representanter for næringslivet, ungdom og representanter for ulike minoriteter). Fra dette grunnlaget laget vi et kvantitativt mål som fordypet seg i verdiene som råder blant finnene og deres fremtidige endringer. Studien fikk et navn som ytet rettferdighet til innsatsen som var lagt ned i den. Studien ble kalt Folkets verdier .
![[:no]Logo for folks verdier[:]](/wp-content/uploads/2018/12/Kansan-arvot_laatikko-e1650364945854-400x341.jpg)
Studie av folks verdier
Studien om folks verdier, utviklet og implementert av T-Media, var en del av det utforskningsarbeidet til Economic Information Office TAT om endringen i driftsmiljøet. Implementeringen av denne svært interessante studien ble avsluttet på grunn av manglende finansiering, ettersom Economic Information Office TAT forbedret strategien sin og fokuserte på unge mennesker. Underveis endret også navnet seg: Economic Information Office TAT er nå Economic and Youth TAT.
Ulike borgerundersøkelser og tolkningen av disse er vanlige verktøy for etterretningstjenester. De kan for eksempel brukes til å forutsi sosiale endringer, eller i verste fall til å prøve å vurdere på forhånd hvordan ukrainere kan motta en potensiell okkupant. Forskningsinformasjon er også et viktig verktøy i informasjonspåvirkning. Forskningsrapporten om folkets verdier ville ha vært en virkelig skatt for en ondsinnet angriper. Forskningen avdekket mer enn bare verdier og deres endring. Den avdekket polariseringen av verdier. Med andre ord, de tingene som borgerne er sterkt uenige om. Det er nettopp denne informasjonen som er verdifull fra angriperens perspektiv i informasjonskrigføring.
Når en angriper identifiserer sosiale skiller, kan han inspirere til splid mellom mennesker på en effektiv måte. Ved å intensivere spliden distanseres folk fra hverandre og det skapes mistillit, noe som igjen svekker nasjonens enhet og fremmer evnen til å ta beslutninger og handle. Dette destabiliserer hele nasjoner. Du trenger bare å lese nyhetsstrømmen eller se deg rundt for å forstå hvor effektivt dette er. Det amerikanske demokratiet knakk i sømmene under de to siste presidentvalgene og i etterkant av dem. Informasjonspåvirkning skal også ha spilt en nøkkelrolle i Storbritannias uttreden fra EU.
NYHETSORD SOM EN DEL AV INFORMASJONSPÅVIRKNING
For eksempel kan en angriper introdusere termer og nye ord i vårt hverdagsspråk gjennom nettdiskusjoner som forårsaker polarisering og splid. Disse svømmer ubemerket inn i vårt hverdagsspråk, og en målrettet informasjonsinfluenser kan følge det nye livet til terminologien han eller hun har funnet opp i politikernes munner, i talkshow og til og med på TV-nyheter. Det er vanskelig å bevise den sanne opprinnelsen til termer senere, spesielt siden informasjonsinfluens er en langsiktig aktivitet: målrettede ord kan ha vært i bruk i mer enn et tiår. Vi kan selv bruke språket i informasjonskrigføring uten å innse at vi gjør det. For eksempel ble en person som argumenterte for NATO veldig lett stemplet som en NATO-hauk før krigen i Ukraina, og det har blitt gjort forsøk på å stemple kritikk av det russiske regimet som russofobi.
Institusjonenes driftsforhold er bygget på tillit fra enkeltpersoner
Samfunnet består av institusjoner så vel som mennesker. I dette tilfellet refererer institusjoner til konkrete organisasjoner under offentlig myndighet, og de er fruktbar jord for en ondsinnet angriper. Borgernes tillit til sine institusjoner er en absolutt forutsetning for et fungerende samfunn. Angriperens interesser er derimot å undergrave borgernes tillit til det sosiale systemet.
På dette tidspunktet tar vi angriperens perspektiv sammen med forsvarerens perspektiv og ser også på ting fra integratorens øyne. Vi har allerede lært å være ganske utspekulerte på dette tidspunktet, og det er på høy tid å begynne å bygge tillit rundt oss, i tillegg til å ødelegge.
Vi måler T-Media Reputation&Trust -studie av interessentstøtte for hver offentlig sektororganisasjon blant innbyggere. Denne interessentstøtten inkluderer innbyggernes tillit til organisasjonen, tillit i en krise, vilje til å høre organisasjonens standpunkter, vilje til å støtte organisasjonen med skattemidler, vilje til å jobbe for organisasjonen og sannsynlighet for å snakke positivt om organisasjonen.
Disse formene for tillit og atferd hos individer i forhold til en offentlig finansiert organisasjon er, med ett ord, de sosiale betingelsene for den aktuelle organisasjonen. Og fra et informasjonspåvirkningsperspektiv er disse betingelsene de faktorene som angriperen søker å undergrave, og som vi, som medlemmer av samfunnet, ønsker å forsvare.
Hvordan forsvares en organisasjons driftsforhold i en informasjonskrig?
For å bygge og om nødvendig forsvare en organisasjons driftsforhold, er det nødvendig å forstå hvor de oppstår. Reputation&Trust Modellens formål og historie tar for seg nettopp dette spørsmålet. Når vi utvikler modellen, tar vi sikte på å identifisere, isolere og formulere de generiske konseptene knyttet til organisasjoner som er relatert til interessentstøtte, dvs. betingelsene for handling fra perspektivet til en offentlig aktør.
Reputation&Trust Modellen har blitt mye brukt i offentlige organisasjoner i årevis. Reputation&Trust Antallet forskningsprosjekter i offentlig sektor er imponerende. Denne mengden av ensartet implementerte studier gir muligheten til å se på de innsamlede dataene som en helhet og fordype seg i emnet.
Den tilhørende metaanalysen viser oss sammenhengen mellom omdømme og driftsforholdene i offentlig sektor. Metaanalysen resulterer i en statistisk modell der endringer i omdømme påvirker støtten fra interessenter i offentlig sektor med en gjennomsnittlig faktor på 1,11. Basert på denne forskningen kan det frimodig sies at omdømme er en nøkkelfaktor i driftsforholdene til institusjoner og videre i samfunnet. Ved å utvikle omdømme, vinner institusjoner innbyggernes tillit og øker motstandskraften i tilfelle en situasjon der driftsforholdene undergraves.
Den oppfattede hellingen er selvsagt en mulighet for både angriperen og forsvareren: Selv en liten skade på omdømmet spiser av driftsforholdene med en god helling. Proaktivt omdømmearbeid utvikler henholdsvis kriserobusthet med en god helling.
Metaanalyse av offentlig sektor Reputation&Trust -forske
Hver prikk i dette bildet representerer én Reputation&Trust modell i årene 2018–2021. Plasseringen av hvert punkt i figuren er basert på det statistisk modellerte omdømmet og interessentstøtten til den aktuelle organisasjonen. Den horisontale aksen viser organisasjonens omdømme, og den vertikale aksen viser interessentstøtte. Interessentstøtten er bygget på gjennomsnittet av de driftsmessige forholdene målt for organisasjonen beskrevet ovenfor (tillit, vilje til å snakke positivt osv.). Omdømme er igjen Reputation&Trust -modell av organisasjonens omdømme statistisk modellert. Den statistiske feilmarginen for hver enkelt studie (punkt på kartet) avhenger av standardavviket til svarene i den studien, men i alle studiene som presenteres er den mellom 0,04–0,06 på en skala fra 1–5. Dataene representerer et stort antall forskjellige finske offentlige organisasjoner.
Berømmelse er en del av forsvaret
Tanken om at omdømmeproblemer ikke er relevante blant allmennheten hvis organisasjonen er svært lite kjent, kan nå snike seg inn i tankene til den institusjonelle representanten. Dette kan være en farlig tankegang. Jeg vil forklare hvorfor nedenfor.
Nedenfor er en beskrivelse av omdømmet til to forskjellige organisasjoner.
Få kjenner organisasjon A, mens nesten alle finner kjenner organisasjon B i det minste ved navn. Og når en person sier at de kjenner en organisasjon ved navn, vet de sannsynligvis allerede mye mer om den enn bare en kombinasjon av bokstaver. Et navn er ikke lett å huske med mindre det er assosiert med noe eller et bilde.
Fra angriperens perspektiv er disse organisasjonene svært forskjellige fra hverandre. Den ene organisasjonen har et nasjonalt image, og bare noen få personer kjenner til den andres eksistens.
Er det da slik at den lite kjente organisasjonen A ikke trenger å bekymre seg for sitt omdømme fra et informasjonspåvirkningsperspektiv? Dessverre er ikke dette tilfelle. Faktisk kan organisasjon A være et enklere mål fra et informasjonspåvirkningsperspektiv enn organisasjon B.
Når det nesten ikke finnes bilder, kan oppfatninger knyttet til en organisasjon raskt oppstå på initiativ fra noen andre enn organisasjonen selv. Dette kunne for eksempel ha skjedd med den finske Riksrevisjonen (VTV). Jeg påstår ikke at hendelsene knyttet til VTVs omdømmekrise utgikk fra utgangspunktet til en informasjonsinfluencer, men VTV er et godt eksempel på hvordan omdømmet til en lite kjent institusjon er tilbøyelig til å fylles med negative bilder veldig raskt. I dag er VTV en velkjent organisasjon.
Fenomenet beskrevet ovenfor er selvsagt en mulighet for en angriper. På sin måte kunne man tenke at det ville være fornuftig for en offentlig finansiert, nasjonalt betydningsfull institusjon å holde innbyggerne oppmerksomme, i hvert fall i en viss grad, på institusjonens eksistens, aktiviteter og mål.
Jeg foreslo at organisasjon A kunne være et enklere mål fra en angripers perspektiv enn organisasjon B, men dette er ikke gitt. Situasjonen avhenger av omdømmet til organisasjon B. Berømmelse i seg selv betyr ikke direkte defensiv evne. La oss forestille oss at organisasjon B var VTV med sitt nåværende omdømme. Potensiell ny negativ informasjon om organisasjonen, sann eller usann, ville synke ned i fruktbar jord for angriperen. Mottakelsen av ny informasjon ville bli påvirket av bekreftelsesskjevhet : innbyggerne ville være ganske villige til å tro på nye negative ting om VTV, fordi de ville støtte sine forutinntatte meninger om den aktuelle organisasjonen. Derfor ville det være mye lettere å undergrave driftsforholdene til VTV enn for eksempel politiet.
Organisasjon B kunne ellers vært en politistyrke, med et ganske sterkt omdømme og offentlig tillit. Fra en angripers perspektiv er politistyrkens posisjon vanskelig å undergrave av nettopp denne grunnen. Negativ informasjon om en anerkjent organisasjon blir egentlig ikke trodd på, selv om den er sann.
Dette fenomenet er igjen kognitiv dissonans . Kort sagt betyr det en ubehagelig følelse som følge av å motta informasjon som ikke samsvarer med vårt eget verdensbilde. Vi ignorerer lett slik informasjon og går videre. Kognitiv dissonans oppstår i et slikt tilfelle som et resultat av et sterkt omdømme og er i seg selv en viktig forsvarsmekanisme. Ordtaket til konsulenter innen omdømmekommunikasjon sier: «Omdømme bærer oss gjennom kriser.» Dette kan virkelig være tilfelle!
La oss også, for sikkerhets skyld, slå fast at organisasjon A og B ikke er VTV og politiet. Bevissthetsmålingene beskriver eksempelorganisasjoner, som forblir anonyme i denne sammenhengen.
Lav bevissthet er en risiko for en institusjon fra et informasjonspåvirkende perspektiv, selv om bevissthet ikke i seg selv skaper motstandskraft for organisasjonen. Motstandskraft for informasjonspåvirkning skapes gjennom et godt omdømme, og et godt omdømme må opptjenes og bygges selv før problemer oppstår, slik at tillits- og omdømmebufferen kan motstå forstyrrelsene forårsaket av en overraskende situasjon.
HVA, ER FINLAND ET KORRUPT KLEPTOKRATI?
Selv om en nøkkelinstitusjon er vanskelig å undergrave, betyr ikke dette at den ikke fortsatt blir forsøkt. Tiden er på angriperens side. Enhver organisasjon vil utvikle feil eller problemer over tid som en vedvarende angriper kan utnytte ved å akselerere informasjonsoperasjoner som allerede er i gang.
Vi vestlige anser det russiske maktsystemet for å være et korrupt kleptokrati. Akkurat nå, våren 2022, kan en angriper med viljestyrken, ressursene og riktig tidspunkt til å forstå situasjonen effektivt undergrave det finske systemet fra et perspektiv vi selv har skapt. Ved å lekke reelle eller fabrikkerte korrupsjonsanklager fra Riksrevisjonen og kombinere disse med en fortelling om politikorrupsjon gjennom Jari Aarnio-saken, kan en avansert angriper bruke mulighetsvinduet til å så frø av mistanke hos offentligheten om at vårt eget system også er et korrupt kleptokrati.
Omdømmepåvirkningsanalyse er ekstremt sensitiv informasjon.
La oss gå tilbake til cyberverdenen et øyeblikk. Silverskin Information Security tester ulike systemer ved å angripe dem systematisk, men med tillatelse – eller rettere sagt, på forespørsel. Intensiv penetrasjonstesting vil garantert bli lagt merke til. Alarmklokkene bør i det minste ringe når en angriper prøver alt mulig og umulig samtidig.
Basert på hendelsene i testangrepet utarbeides en rapport for kunden, som gjennomgår alle angrepsteknologiene og -metodene som er testet. Rapporten inneholder også informasjon om hvilke metoder som har sluppet gjennom forsvaret og i hvilken grad. Rettelser foreslås for sikkerhetshullene som er funnet. Gjett om rapporten beskrevet ovenfor er sensitiv informasjon. Fra angriperens perspektiv er rapporten praktisk talt instruksjoner om hvordan man trygt, elegant og ubemerket kan komme seg inn i målsystemet. Og hvis noe har blitt fikset, vet vi også hvordan det ble fikset.
En organisasjonsspesifikk omdømmekonsekvensanalyse basert på statistikk er en like verdifull rapport fra et informasjonskrigføringsperspektiv. Konsekvensanalysen er basert på korrelasjons- og regresjonsanalyser, og den viser direkte hvilke organisasjonsspesifikke oppfatninger som har størst innvirkning på betingelsene for driften av den aktuelle institusjonen. Analysene gir også informasjon om hvilke oppfatninger som er svakere, dvs. hvilke områder av organisasjonens omdømme folk vet minst om eller hvilke oppfatninger de er sterkt uenige om. En avansert angriper ville bruke rapporten på følgende måte:
- Konsekvensanalysen vil se på faktorene som bygger og undergraver tilliten til målorganisasjonen mest.
- Jeg ville sett på polarisasjonsanalysen av komponentene og valgt den av omdømmekomponentene som har den sterkeste uenigheten og den største uvitenheten samtidig.
- Den ville målrette en massiv informasjonsoperasjon med kirurgisk presisjon nettopp mot det området av målorganisasjonens omdømme der innflytelse, uenighet og uvitenhet møtes.
Ved å gjøre dette ville angriperen kunne undergrave tilliten til målinstitusjonen med utrolig effektivitet. Alle slagene ville være nettopp der rustningen er svakest eller ikke-eksisterende, og der et vitalt indre organ ligger under rustningen.
Fra angriperens perspektiv, den endelige penetrasjonstestrapporten og Reputation&Trust -analyse av forskningseffektivitet er praktisk talt det samme. De er som ferdige strategier med sikkerhet i suksess. Det er de også for forsvareren, men fra forsvarerens perspektiv er ikke suksess like sikker, og forsvareren har ikke råd til å vente på det rette øyeblikket. Å bryte sammen er på mange måter enklere og raskere enn å systematisk bygge vakre ting. Det er nettopp derfor kriserobusthet må bygges kontinuerlig, målrettet og fremfor alt i fredstid, både i cyberverdenen og i omdømmeverdenen.
Noen ganger kan helt forskjellige veier føre til samme punkt
Denne gangen var cybersikkerhet og omdømme på samme parkeringsplass, gjenspeiler forfatteren av denne artikkelen, T-Medias utviklingsdirektør og Reputation&Trust Modellen er Riku Ruokolahti. I tillegg til arbeidet sitt med omdømmehåndtering har Riku gjort inntrykk i ulike bakgrunnsroller knyttet til cybersikkerhet. De mest bemerkelsesverdige av disse er over ti års styrearbeid i cyberangrepsselskapet Silverskin Information Security Oy og arbeidet som investor og ledelsesrådgiver i selskapet Cyber Intelligence House, som spesialiserer seg på mørk nett-etterretning.
Silverskins kjernefilosofi er å øke den generelle sikkerheten til bedrifter og samfunn ved å undersøke institusjoner fra angriperens perspektiv og foreslå korrigerende tiltak basert på dette. CIH samler på sin side inn informasjon og observerer fenomener, hendelser, forbrytelser og datalekkasjer som oppstår under beskyttelse av anonyme nettverk. Juridiske institusjoner (inkludert INTERPOL), samfunn og selskaper bruker informasjonen som samles inn av CIH til å forberede seg på og reagere på trusler.
Innholdet og angrepsscenariene i artikkelen ble diskutert med cybersikkerhetsekspert Mikko S. Niemelä. Mikko er grunnleggeren av cyberangrepsselskapet Silverskin og cyberintelligensspesialisten Cyber Intelligence House. Mikko underviser også i cybersikkerhet ved National University of Singapore og fungerer som rådgiver for blant annet FNs kontor for narkotika og kriminalitet (UNODC) og INTERPOL.
