Blog - ‘I think it is going to rain today’: een duidelijke threat intelligence

Door Robert Metsemakers 17 jun 2022

Hoe duidelijker je wanneer, wie, waar, wat en hoe (waarom) van je verwachting benoemt, des te hoger is de effectiviteit van je threat intelligence. In dit artikel geef ik aanbevelingen voor het preciseren ervan.

UB40
‘I think it is going to rain today’ is onderdeel van het debuutalbum (1980) van UB40. Een groep werkeloze Britse jongeren begon bij gebrek aan inkomen een reggaeband. Het aanvraagformulier ‘Unemployment Benefit 40’ is afgekort de bandnaam en staat op de albumhoes. De albumtitel ‘Signing off’ betekent ‘afhaken’, maar ook ‘stempelen’. Dat is de Belgische term voor wat een uitkeringsgerechtigde doet als hij ‘in de WW loopt’. Vanuit die context en tijd is het lied niet alleen een weersverwachting, maar een onheilsboodschap. Dat is een mooie Nederlandse term voor ‘threat intelligence’: informatie, over naderend onheil, waarvan de kans van optreden dus niet exact te bepalen is. Regen is geen IT-dreiging, maar wel een dreiging. Niemand houdt van een onverwacht nat pak en als iemand je waarschuwt dat het vandaag gaat regenen, kun je voorbereidingen treffen (thuiswerken, of regenpak en paraplu meenemen).

Wanneer – de periode
Het lied is niet ambitieus in de voorspellingsperiode – nog korter, en je komt uit op ‘Het regent, het regent, de pannen worden nat’. Dat kinderliedje is 100% nauwkeurig, beschrijft de situatie accuraat en objectief en bevat de voor sommige lezers zo belangrijke herhaling van belangrijke punten. Het kijkt echter nauwelijks vooruit. Vroeg in de morgen is de regenvoorspelling waardevoller dan pas bij het toetje nahet avondeten. Een voorspelling als ‘op 27 april 2024 gaat het regenen’ heeft in 2022 echter ook weinig betekenis, door het gekozen regenvoorbeeld.

De periode van de voorspelling moet dus niet te kort en niet te lang zijn, en daarbij inspelen op het belang van wat voorspeld wordt. Bij korte voorspelperiodes is zelfs het moment van de uitspraak van belang. Leg dit dus duidelijk vast.

Wie – de voorspeller en zijn bronnen
Het lied is geschreven door Randy Newman, UB40 is de boodschapper. Het is daarmee onduidelijk wie de ‘ik’ uit de titel is. Maar voor de ontvanger van de threat intel is dit wel van groot belang. Het maakt verschil of (wijlen) Jan Pelleboer, Piet Paulusma (helaas…), een reggaeband of prof. Jaap van Dissel bij je aanbelt met deze mededeling. De ontvanger heeft dus informatie nodig over de brenger van de boodschap om de waarde of het belang ervan goed in te kunnen schatten. Heeft hij het zelf verzonnen of bedacht? Of is de voorspelling gebaseerd op uitgebreid brononderzoek en analyse en hoe betrouwbaar zijn die bronnen zelf dan?
Objectieve metingen en een proven track record van de adviseur laat ik weg. Van beleggingsproducten weten we: ‘behaalde resultaten in het verleden zijn geen garantie voor de toekomst’. Aan de andere kant: na 13 dagen regen op de camping wordt de laatste vakantiedag waarschijnlijk ook wel slecht. Dus tellingen van opgetreden incidenten hebben wel een beetje nut voor informatie over komende dreigingen.
Voor sommige lezers doe je het trouwens nooit goed. Ik had ooit een manager die over mijn threat intelligence zei dat het nu al de derde keer in korte tijd was dat hij over een bepaalde dreiging hoorde. Hij raakte het beu en was er, in 2022-termen, wel klaar mee. Maar als je het advies van ‘The boy who cried wolf’ de vierde keer niet serieus neemt, ligt het risico dat er nu wél een echte bijtende wolf (invasie, virusvariant, dictatuur) arriveert, geheel bij degene die het vierde advies compleet negeert.

Waar – het geografisch gebied
Ook is van belang dat het lied staat op een 33 toeren langspeelplaat uit 1980 en het niet live op straat of bij de voordeur door de zanger wordt verkondigd. Wanneer de threat intelligence schriftelijk wordt gedeeld, moet uit de mededeling zelf duidelijk zijn wanneer de voorspelling is gedaan. Wanneer de informatie van een externe bron, via modernere media (SMS, whatsapp, mail, tweet) opnieuw wordt gedeeld, zal de ontvanger logischerwijs aannemen dat het een actuele voorspelling is. De tekst van ‘I think…’ noemt geen geografische plaats. Wanneer een DJ in een radio-uitzending of op een festival het lied afspeelt, zullen de luisteraars denken dat het een voorspelling is voor Nederland of het festivalterrein.

Om threat intelligence toepasbaar (‘actionable’) te maken, moet je natuurlijk vermelden waar het onheil (naar verwachting) zal gaan optreden. In Nederland of daarbuiten, alleen op Android of ook IOS, welke versie van het operating system is kwetsbaar, enzovoort.

Wat en hoe – wat gaat er gebeuren
De melding is niet concreet: ‘going to rain’ is een breed begrip en varieert van miezerregen, motregen, hoosbui, het giet, het staat te regenen (in West-Brabant), ’t is nat (in Groningen) tot zware of hevige regenbuien (journaal). Wanneer er nog hagel, storm, hevige wind, onweer of een overstroming bij komt, klopt de voorspelling wel, maar voor de slachtoffers van de natuurramp maakt het een groot verschil.
Een specifiekere voorspelling, zoals ‘Het gaat regenen en óók onweren’, heeft een hogere waarde voor de ontvanger. De kans dat het precies zó uitpakt als voorspeld wordt wel kleiner. Maar jezelf als leverancier van threat intelligence tegen falen compleet in te dekken door te komen met ‘Het weer wordt volgende maand anders’, voegt geen waarde toe.

Kans van optreden – hoe zeker ben je van je zaak
De kern van de voorspelling in dit lied zit in ‘think’. Het Nederlands heeft diverse varianten op ‘Ik denk dat…’. Sommige uitdrukkingen zijn sterker (overtuigd, weet zeker, vast en zeker, het zal), andere zijn zwakker (ik vermoed, misschien, er is een kans dat, het zou kunnen dat). Er zijn manieren om een eigen voorkeur in de verwachting aan te geven (ik hoop, reken erop, verwacht) – hiermee kan de leverancier tonen hoe subjectief hij in de wedstrijd zit. Die transparantie wordt soms (wereldoorlog) opzettelijk weggelaten uit politiek geladen threat intelligence.
Termen als ‘mij lijkt’, ‘ik heb het gevoel’, ‘volgens mij’, ‘ik heb zoiets van’ tonen dat jij als auteur het ook niet weet, maar (CYA = cover your ass) het toch even wilt melden. Dergelijke termen zou ik weglaten uit een professioneel threat intelligence rapport. Probeer de ingeschatte kans van optredenzo concreet mogelijk te maken in je formulering (zie voorbeelden hieronder).

Met het simpele woordje ‘niet’ kun je trouwens threat intelligence (onbedoeld) onduidelijker maken: het verschil tussen ‘ik weet zeker dat…’ en ‘ik weet niet zeker dat…’. Hier is de ontkenning aan het weten gekoppeld en niet aan de voorspelling zelf. Of ‘ik twijfel of…’ versus ‘ik twijfel niet of…’. De ontkenning draait de betekenis niet 100% om: wie niet zeker weet of het vandaag gaat regenen, zegt niet dat hij zeker weet dat het vandaag droog blijft. ‘Niet’ kan ook intelligence van concurrerende voorspellers afzwakken. Zeg gewoon als reactie op een rapport van een andere threat intelligence leverancier: ‘ik weet niet of…’ (zelfs als je het nog niet gelezen hebt) en de twijfel rijst al. Let nauwkeurig op het gebruik van ‘niet’ in (eigen) rapportages.

Standaard zekerheidsniveaus
Voor mij klinkt iemand die iets vermoedt, onzekerder van zijn/haar zaak dan wie iets denkt. Bij iemand die zegt iets zeker te weten, neem ik aan dat het geen pure fantasie is en dat er andere bronnen aan ten grondslag liggen. Bij iemand die mij zegt ‘dat wil je niet weten’, vraag ik altijd door om het wél te weten komen, want ik verwacht dan dat hij/zij het zelf niet weet.

Het liefst heb je dat de Intel leverancier kan stellen: dit weet ik 80% zeker en dat 20% zeker. Zover is het helaas nog niet. Maar als tussenoplossing kun je als leverancier en ontvanger samen, binnen je organisatie of branche, een aantal standaardtermen over zekerheid afspreken en daarbinnen een vaste rangschikking bepalen en die dan in alle threat intelligence rapporten hanteren. Ik doe een ruw voorstel, aflopend gesorteerd in kans van optreden:
1. Ik weet zeker, er zal…
2. Met aan zekerheid grenzende waarschijnlijkheid
3. (Zeer) waarschijnlijk
4. De kans is (zeer) groot dat
5. Het kan vriezen/dooien (50/50) (is eigenlijk: ik heb geen
idee, kan nog alle kanten op)
6. De kans is (zeer) klein dat
7. Het is/lijkt onwaarschijnlijk
8. Ben/weet vrijwel zeker dat niet….
9. Ik eet mijn hoed op, als…
10. Echt niet, zeker weten, ik zweer het op mijn moeder/kinderen, nooit.

Nummer 5 is gevaarlijk, want waarom meld je het dan als mogelijke dreiging? Door bij 4 en 6 te kiezen voor zéér groot/klein blijf je als organisatie zoveel mogelijk uit het wazige en nietszeggende midden.

Achtergrondinformatie
Het volgende schema komt uit CIA-pensionado Richards Heuer boek 'Psychology of Intelligence Analysis’ [1]. Een groep van twee dozijn NATO-officieren (de afzonderlijke puntjes per regel), gewend aan het lezen van intelligence rapporten, gaven hun inschatting van de procentuele kans van optreden bij het lezen van de statements in de linkerkolom. De puntenwolken zijn duidelijk verspreid door de verschillende interpretaties.

[Figuur 1 - Schema Richards Heuer - NATO puntenwolken.]

Op 3 juli 2018 publiceerden Andrew Mauboussin and Michael Mauboussin in Harvard Business Review het artikel: ’If you say something Is ‘likely,’ how likely do people think it is?’ [2]

De grafieken (de sparklines van Edward Tufte, daarover een volgende keer meer) (zie figuur 2) tonen hoe hun 1.700 respondenten termen vertaalden naar een procentuele kans. Vooral de uitdrukking ‘real possibility’ werd zeer breed geïnterpreteerd als ‘tussen de 20 en 80% kans’. Ook ogenschijnlijk absolute begrippen als ‘always’ en ‘never’ blijken niet voor iedereen altijd (100%) en nooit (0%) te betekenen. ‘Slam dunk’ is als Amerikaanse sportterm cultureel bepaald en voor lezers uit een andere cultuur veel moeilijker te begrijpen. Ook iets om op te letten in je threat intelligence rapporten.

[Figuur 2 - How people interpret probabilistic words. Bron: Andrew Mauboussin and Michael J. Mauboussin.]

Referenties
[1] https://hbr.org/2018/07/if-you-say-something-is-likely-how-likely-do-people-think-it-is.
[2] https://www.cia.gov/static/9a5f1162fd0932c29bfed1c030edf4ae/Pyschology-of-Intelligence-Analysis.pdf


Robert Metsemakers

Robert Metsemakers schrijft op persoonlijke titel en is als ervaren IT-auditor en informatiebeveiligingsexpert beschikbaar voor security-advies en (algemene) schrijfopdrachten via robert.metsemakers@gmail.com

Dit blog verscheen in IB3-2022.