Riku Ruokolahti: Ryktet är en viktig kraft mot informationspåverkan
I informationskriget utkämpas striden om människors sinnen, och demokratin som system bygger på människors sinnen. Just av denna anledning är demokratin med sina institutioner särskilt sårbar när en informationspåverkare slår till. En organisations rykte består i sin tur av de gemensamma uppfattningar som människor har om varje organisation. Denna artikel belyser informations- och cyberpåverkan ur angriparens perspektiv samt hur organisationens rykte hänger samman med detta.
Ur en cyberangripares perspektiv handlar det i grunden om maskiner och människor samt förtroenderelationerna mellan dem, och mer specifikt om att missbruka dessa förtroenderelationer till angriparens fördel.
Låt oss ta ett exempel. Du får ett meddelande från ditt barns lärare som känns överraskande men ofarligt. I meddelandet sammanfattas vad som hänt i klassen. Du svarar på meddelandet och nämner saker som rör ditt barns hälsa, som läraren redan känner till. Förutom att hen inte gör det. Hen vet inte, eftersom avsändaren inte är läraren, utan en illvillig angripare som känner dig obehagligt väl. Du har just avslöjat ytterligare personlig information för denne genom att nämna ditt barns hälsotillstånd. I nästa meddelande finns en bilaga som rör just detta hälsotillstånd, och trots datorns varningar öppnar du den. Naturligtvis öppnar du den. Det är få som inte skulle göra det.
Du gissade rätt. Bilagan är ett sofistikerat skadligt program.
Angriparen i det här fallet har gjort sin rekognosering och förberett sin attack noggrant. Han har utnyttjat dina känsliga områden samt det förtroendeförhållande som finns mellan dig och läraren, och nu utnyttjar han datorns förtroendeförhållande till sin administratör. Du, som administratör, öppnade bilagan trots varningarna. I detta skede har angriparen tagit sig in i din dator och utnyttjar förtroendeförhållandena mellan datorns interna gränssnitt. Och när man väl kommit in som betrodd, ifrågasätter datorn inte längre förtroendeförhållandena lika lätt. Någonstans i din dators inre finns ett mindre känt programmeringsfel som angriparen fortsätter att utnyttja mellan dina program och ditt arbetsplatsnätverk. Det finns nämligen ett förtroendeförhållande mellan ditt arbetsplatsnätverk och din dator. Oavsett om det handlar om datorer eller människor står förtroende i centrum för angriparens arbete.
Om du utsätts för en så noggrant förberedd attack har du troligen att göra med konfidentiell information eller en organisation som är av intresse för angriparen. Det slutgiltiga målet för en avancerad attack är sällan en enskild person.
Som vi såg i föregående exempel handlar det i cybervärlden inte bara om att påverka datorer, utan en central del av cyberattacker är också att lura människor.
Detta leder oss smidigt vidare till informationsmiljön och vidare till informationspåverkan. Vi utvecklade för en tid sedan på T-Media en longitudinell studie som på djupet undersökte finländarnas värderingar. Det handlade inte om någon lättvindigt ihopslängd frågelista, utan vi fick i kvalitativa intervjuer höra från en mycket bred skara av centrala opinionsbildare (bland annat ärkebiskopen, presidentinstitutionen, statssekreterare, inflytelserika personer inom kultur- och konstsektorn, pensionärsorganisationer, fackföreningar, tankesmedjor, företrädare för näringslivet, ungdomar och företrädare för olika minoriteter). Utifrån detta grundarbete skapade vi ett kvantitativt mått som djupdykte i de värderingar som råder bland finländarna och deras framtida förändringar. Undersökningen fick ett namn som gjorde rättvisa åt det arbete som lagts ned på den. Undersökningen fick namnet Kansan arvot (Folkets värderingar).
![[:fi]Folkets värderingar – logotyp[:]](/wp-content/uploads/2018/12/Kansan-arvot_laatikko-e1650364945854-400x341.jpg)
UNDERSÖKNINGEN OM FOLKETS VÄRDERINGAR
Undersökningen ”Folkets värderingar”, som utvecklades och genomfördes av T-Media, ingick i det arbete som Ekonomiska informationsbyrån TAT bedrev för att kartlägga förändringar i sin verksamhetsmiljö. Genomförandet av denna ytterst intressanta undersökning avbröts på grund av bristande finansiering, då TAT (Taloudellinen tiedotustoimisto) justerade sin strategi och fokuserade på ungdomar. Under resans gång ändrades även namnet: TAT (Taloudellinen tiedotustoimisto) heter numera Talous ja nuoret TAT.
Olika opinionsundersökningar och tolkningen av dessa är vanliga verktyg för underrättelsetjänsterna. Med hjälp av sådana kan man till exempel förutse samhällsförändringar eller, i värsta fall, försöka bedöma i förväg hur ukrainarna skulle ta emot en potentiell ockupant. Forskningsdata är också ett viktigt verktyg för informationspåverkan. Rapporten om undersökningen ”Folkets värderingar” skulle ha varit en riktig skatt för en illvillig angripare. Undersökningen avslöjade nämligen mer än bara värderingar och förändringar i dessa. Den avslöjade en polarisering av värderingarna. Det vill säga de frågor där medborgarna är starkt oeniga. Just denna information är värdefull ur angriparens perspektiv i informationskrigföring.
När en angripare identifierar samhällets skiljelinjer kan han eller hon på ett effektivt sätt underblåsa splittring mellan människor. Genom att förstärka splittringen distanseras människor från varandra och det skapas misstro, vilket i sin tur försvagar nationens sammanhållning och därmed dess förmåga att fatta beslut och agera. På detta sätt skakas hela nationer i sina grundvalar. Man behöver bara läsa nyhetsflödet eller se sig omkring för att förstå hur effektivt detta är. Den amerikanska demokratin knakade i fogarna under de två senaste presidentvalen och i efterdyningarna av dessa. Informationspåverkan sägs också ha spelat en nyckelroll i Storbritanniens utträde ur EU.
NYA ORD SOM EN DEL AV INFORMATIONSARBETET
En angripare kan till exempel via nätdiskussioner smyga in termer och nyskapelser i vårt vardagliga språk som leder till polarisering och oenighet. Dessa smyger sig obemärkt in i vårt vardagsspråk, och en målmedveten informationspåverkare kan följa det nya livet för den terminologi han eller hon har hittat på i politikers mun, i debattprogram och till och med i tv-nyheterna. Det är svårt att i efterhand bevisa termernas verkliga ursprung, särskilt eftersom informationspåverkan är en långsiktig verksamhet: de avsiktsfulla orden kan ha använts i över ett decennium. Vi kanske själva använder informationskrigets språk utan att inse att vi gör det. Till exempel stämplades en person som argumenterade för Nato före kriget i Ukraina mycket lätt som en Nato-hök, och kritik mot den ryska regeringen har i sin tur försökt stämplas som ryssofobi.
Institutionernas förutsättningar bygger på individernas förtroende
Samhället består inte bara av människor utan också av institutioner. Med institutioner avses i detta sammanhang konkreta organisationer inom den offentliga sektorn, och dessa utgör en fruktbar grogrund för en illvillig angripare. Medborgarnas förtroende för sina institutioner är en absolut förutsättning för ett fungerande samhälle. Det ligger däremot i angriparens intresse att undergräva medborgarnas förtroende för samhällssystemet.
I det här skedet kompletterar vi angriparens perspektiv med försvararens synvinkel och betraktar saker och ting även ur en försonares perspektiv. Vi har redan lärt oss att vara ganska listiga, och det är hög tid att vi, vid sidan av att förstöra, börjar bygga upp förtroendet omkring oss.
I samband med T-Medias Reputation&Trust mäter vi varje offentlig organisations stöd bland medborgarna. Detta stöd från intressenterna omfattar medborgarnas förtroende för organisationen, förtroendet i kriser, viljan att ta del av organisationens ståndpunkter, viljan att stödja organisationen med skattepengar, viljan att arbeta för organisationen och sannolikheten att tala positivt om organisationen.
Dessa former av individers förtroende och beteende gentemot en offentligt finansierad organisation utgör, kort sagt, organisationens samhälleliga förutsättningar för verksamheten. Och just dessa verksamhetsförutsättningar är, ur informationspåverkansperspektiv, de faktorer som angriparen försöker undergräva och som vi som samhällsmedlemmar vill försvara.
Hur försvarar man organisationens verksamhetsförutsättningar i informationskriget?
För att kunna bygga upp och, vid behov, försvara organisationens verksamhetsförutsättningar måste man förstå varifrån de härstammar. Syftet med och bakgrunden till Reputation&Trust kretsar just kring denna fråga. När vi utvecklade modellen strävade vi efter att identifiera, isolera och formulera de generella uppfattningar som är kopplade till organisationer och som har en koppling till stöd från intressenter, det vill säga verksamhetsförutsättningarna ur en aktörs i den offentliga sektorns perspektiv.
Reputation&Trust har i flera år använts i stor utsträckning inom den offentliga sektorn. Antalet enskilda Reputation&Trust inom den offentliga sektorn är imponerande. Denna mängd enhetligt genomförda undersökningar ger möjlighet att betrakta de insamlade uppgifterna som en helhet och fördjupa sig i ämnet.
Den bifogade metaanalysen visar på sambandet mellan anseende och den offentliga sektorns verksamhetsförutsättningar. Metaanalysen ger upphov till en statistisk modell som visar att förändringar i anseendet i genomsnitt påverkar stödet från den offentliga sektorns intressenter med en faktor på 1,11. Med hänvisning till denna studie kan man med säkerhet hävda att anseende en central faktor för institutionernas och därmed samhällets verksamhetsförutsättningar. Genom att utveckla sitt anseende vinner institutionerna medborgarnas förtroende och ökar sin motståndskraft inför situationer där man försöker undergräva deras förutsättningar att fungera.
Den uppmätta anseendekoefficienten innebär naturligtvis en möjlighet både för angriparen och för försvararen: Även en liten skada på anseendet undergräver handlingsutrymmet när anseendekoefficienten är hög. Förebyggande anseendearbete stärker däremot krisresiliensen när anseendekoefficienten är hög.
En metaanalys Reputation&Trust om anseende och förtroende inom den offentliga sektorn
Varje punkt i denna bild representerar en organisation inom den offentliga förvaltningen som undersökts Reputation&Trust under åren 2018–2021. Varje punkts placering i diagrammet baseras på organisationens statistiskt modellerade anseende och stöd från intressenter. På den horisontella axeln visas organisationens anseende på den vertikala axeln stödet från intressenter. Stödet från intressenterna bygger på medelvärdet av de redan beskrivna verksamhetsförutsättningarna som mätts för organisationen (förtroende, vilja att tala positivt och så vidare). anseende är i sin tur organisationens anseende, statistiskt modellerat med hjälp av Reputation&Trust. Den statistiska felmarginalen för varje enskild undersökning (punkt på kartan) beror på standardavvikelsen för svaren i den aktuella undersökningen, men ligger i alla de presenterade undersökningarna mellan 0,04 och 0,06 på skalan 1–5 i figuren. Materialet omfattar ett stort antal olika organisationer inom den finska offentliga sektorn.
Kännedom är en del av försvaret
En representant för institutionen kan nu komma att tänka att frågor som rör anseendet inte spelar någon roll för allmänheten om organisationen är relativt okänd. Detta kan vara ett farligt sätt att tänka. Nedan förklarar jag varför.
I alla fall beskrivs kännedomen om två olika organisationer.
Det är få som känner till organisation A, medan nästan alla finländare åtminstone känner till organisation B vid namn. Och när en person säger att hen känner till organisationen vid namn, vet hen troligen redan betydligt mer om den än bara bokstavskombinationen. Ett namn fastnar inte lätt i minnet om det inte kopplas till något eller en bild.
Ur angriparens perspektiv skiljer sig dessa organisationer åt avsevärt. Den ena organisationen är välkänd i allmänhet, medan den andra är okänd för de flesta.
Är det då så att organisation A, som är relativt okänd, inte behöver oroa sig för sitt rykte när det gäller informationspåverkan? Tyvärr är det inte så. I själva verket kan organisation A vara ett lättare mål än organisation B när det gäller informationspåverkan.
När det knappt finns några föreställningar alls kan uppfattningar om en organisation snabbt uppstå på initiativ av någon annan än organisationen själv. Så kan det till exempel ha gått till för Statens revisionsverk (VTV). Jag påstår inte att just händelserna kring VTV:s anseendekris utgick från en informationspåverkares utgångspunkt, men VTV är ett bra exempel på hur en relativt okänd institutions anseende mycket snabbt kan fyllas av negativa föreställningar. Idag är VTV en välkänd organisation.
Det fenomen som beskrivs ovan är naturligtvis en möjlighet för en angripare. På sitt sätt skulle man kunna tänka sig att det vore rimligt för en offentligt finansierad institution av nationell betydelse att, åtminstone i viss utsträckning, hålla medborgarna informerade om institutionens existens, verksamhet och mål.
Jag påpekade att organisation A ur angriparens perspektiv kan vara ett lättare mål än organisation B, men detta är inte självklart. Situationen beror på organisation B:s rykte. Att vara känd i sig innebär inte någon direkt försvarsförmåga. Låt oss tänka oss att organisation B skulle vara VTV med sin nuvarande kändisgrad. Potentiella nya negativa uppgifter om organisationen, vare sig de är sanna eller falska, skulle falla på fruktbar mark ur angriparens synvinkel. Mottagandet av ny information skulle påverkas av bekräftelsebias: medborgarna skulle vara ganska benägna att tro även på nya negativa saker om VTV, eftersom de skulle stödja befintliga uppfattningar om organisationen i fråga. Därför skulle det vara betydligt lättare att undergräva VTV:s verksamhetsförutsättningar än exempelvis polisens.
Organisation B skulle för övrigt, med tanke på sin kändisgrad, kunna vara polisen, som åtnjuter anseende ganska gott anseende stort förtroende hos allmänheten. Ur angriparens perspektiv är det just av denna anledning svårt att undergräva polisens ställning. Negativ information om en ansedd organisation tas inte riktigt på allvar, även om den skulle vara sann.
Detta fenomen kallas kognitiv dissonans. Kortfattat innebär det en obehaglig känsla som uppstår när vi får information som inte stämmer överens med vår egen världsbild. Vi ignorerar lätt sådan information och går vidare. Kognitiv dissonans uppstår i ett sådant fall som en följd av ett starkt rykte och är i sig ett centralt försvarsmekanism. Det är ju som kommunikationskonsulterna brukar säga: ”Ryktet bär en över kriser.” Så kan det verkligen vara!
För säkerhets skull bör det påpekas att organisationerna A och B inte är VTV och polisen. Kännedomsmätningarna avser exempelorganisationer som i detta sammanhang förblir anonyma.
Låg kännedom utgör en risk för institutionen ur informationspåverkansperspektiv, trots att kännedom i sig inte skapar resiliens för organisationen. Resiliens för informationspåverkan skapas genom ett gott rykte, och anseende gott anseende förtjänas och byggas upp redan innan problem uppstår, så att förtroende- och ryktebuffertarna klarar av störningar som orsakas av oväntade situationer.
VAD, ÄR FINLAND EN KORRUPT KLEPTOKRATI?
Även om det kan vara svårt att rubba en central institution, betyder det inte att man inte ändå ständigt försöker. Tiden är på angriparens sida. Varje organisation drabbas på sikt av misstag eller problem som en ihärdig angripare kan utnyttja genom att intensifiera sina redan pågående informationsoperationer.
Vi västerlänningar betraktar det ryska maktsystemet som en korrupt kleptokrati. Just nu, våren 2022, skulle en angripare med vilja, resurser och rätt timing, baserad på en korrekt lägesbild, effektivt kunna rubba det finska systemet ur vårt eget perspektiv. Genom att läcka sanna eller påhittade misstankar om korruption från Riksrevisionen och koppla dessa till berättelsen om polisens korruption med hjälp av fallet Jari Aarnio, skulle en skicklig angripare kunna utnyttja tidsfönstret och så ett frö av misstro hos folket om att även vårt eget system är en korrupt kleptokrati.
En analys av varumärkets genomslagskraft är ytterst känslig information
Låt oss återvända till cybervärlden för ett ögonblick. Silverskin Information Security testar olika system genom att systematiskt attackera dem – men med tillstånd, eller snarare på begäran. Intensiva penetrationstester märks garanterat. Varningsklockorna borde åtminstone ringa när angriparen testar allt möjligt och omöjligt samtidigt.
Utifrån händelserna under testattacken sammanställs en rapport till kunden där alla testade attacktekniker och -metoder gårs igenom. Rapporten innehåller även information om vilka metoder som lyckades ta sig igenom försvaret och hur långt de kom. Åtgärder föreslås för de säkerhetsluckor som upptäckts. Gissa om rapporten som beskrivs ovan innehåller känslig information. Ur angriparens perspektiv är rapporten i praktiken en instruktion i hur man tar sig in i målsystemet på ett säkert, elegant och obemärkt sätt. Och om något har åtgärdats, vet man även hur det har åtgärdats.
En statistikbaserad analys av organisationens anseende är, ur informationskrigets perspektiv, en rapport av exakt samma värde. Effektanalysen bygger på korrelations- och regressionsanalyser, och den visar direkt vilka organisationsspecifika föreställningar som påverkar just den aktuella institutionens verksamhetsförutsättningar mest. Analyserna ger också information om vilka intryck som är svagare, det vill säga vilka områden av organisationens rykte som människor vet minst om eller vilka intryck de är starkt oeniga om. En avancerad angripare skulle använda rapporten på följande sätt:
- Man bör utifrån effektanalysen se vilka faktorer som i högst grad bidrar till att stärka respektive undergräva förtroendet för målorganisationen.
- Man skulle granska faktorernas polarisationsanalys och välja den faktor bland dem som samtidigt präglas av störst oenighet och störst okunnighet.
- Skulle rikta en massiv informationskampanj med kirurgisk precision mot just den del av målorganisationens rykte där genomslagskraft, oenighet och okunnighet möts.
Genom att agera på detta sätt skulle en angripare kunna undergräva förtroendet för den berörda institutionen på ett otroligt effektivt sätt. Alla träffar skulle hamna precis där pansaret är som svagast eller saknas helt, och där det finns viktiga inre organ under pansaret.
Ur angriparens perspektiv är slutrapporten från penetrationstestet och effektanalysen Reputation&Trust i praktiken samma sak. De är som färdigutformade strategier som med säkerhet kommer att lyckas. Det är de också för försvararen, men ur försvararens perspektiv är framgången inte lika säker, och försvararen har inte råd att vänta på rätt tillfälle. Att bryta mot reglerna är på många sätt enklare och snabbare än att planmässigt bygga upp vackra saker. Just därför måste krisresiliens byggas upp både i cybervärlden och i omdömesvärlden kontinuerligt, målmedvetet och framför allt i fredstid.
Ibland kan helt olika vägar leda till samma mål
Den här gången hamnade cybersäkerhet och anseende i samma fack, konstaterar författaren till denna artikel, Riku Ruokolahti, utvecklingschef på T-Media och huvudutvecklare Reputation&Trust . Förutom sitt arbete med anseendestyrning har Riku varit verksam i olika bakgrundsroller inom cybersäkerhet. De mest anmärkningsvärda av dessa är mer än tio års arbete i styrelsen för cyberattackföretaget Silverskin Information Security Oy samt arbete som investerare och rådgivare till ledningen i företaget Cyber Intelligence House, som specialiserat sig på darkweb-underrättelse.
Silverskins centrala filosofi är att öka den övergripande säkerheten för företag och samhällen genom att granska institutioner ur angriparens perspektiv och på den grunden föreslå åtgärder. CIH samlar i sin tur in information och observerar fenomen, händelser, brott och dataläckor som sker i skydd av anonyma nätverk. Lagliga institutioner (bland annat INTERPOL), samhällen och företag utnyttjar den information som CIH samlar in för att kunna förbereda sig och reagera på hot.
Innehållet i artikeln och angreppsscenarierna har granskats av cybersäkerhetsexperten Mikko S. Niemelä. Mikko har grundat cyberangreppsföretaget Silverskin och Cyber Intelligence House, som specialiserar sig på cyberunderrättelse. Dessutom undervisar Mikko i cybersäkerhet vid National University of Singapore och fungerar som rådgivare åt bland annat FN:s kontor för narkotikakontroll och brottsbekämpning (UNODC) och Interpol.
