Jak analitycy łapią terrorystów? – według GCHQ

gchqJednym z najważniejszych zadań GCHQ (Government Communications Headquarters) – brytyjskiej służby specjalnej zajmującej się zbieraniem i analizą danych telekomunikacyjnych – jest identyfikacja i analiza globalnych zagrożeń terrorystycznych, które niosą ryzyko dla obywateli UK. Najistotniejszą grupą zawodową pracującą w GCHQ są więc – co oczywiste, ze względu na profil działalności – analitycy, którzy wykorzystując Big Data budują kompleksowy obraz zagrożeń, w tym tych terrorystycznych. Jak to się odbywa? – GCHQ przedstawia na swojej stronie internetowej krótki brief w 5-ciu krokach*:

Wszystko zaczyna się od informacji inicjalnej. Może to być zgłoszenie zaniepokojonego obywatela, wskazówka uzyskana od innej służby (w tym zagranicznej – służby o charakterze wywiadowczym aby być skuteczne muszą budować sieć kontaktów międzynarodowych), czy z instytucji wewnętrznych:

MI6 (brytyjski wywiad wojskowy), w czasie wykonywania działań za granicą dowiaduje się, iż jeden z członków salafickiej organizacji terrorystycznej ISIL (Islamic State of Iraq and the Levant) przekazał niezidentyfikowanej osobie dokumentację brzmiącą jak instrukcja dokonania ataku terrorystycznego na terytorium UK. MI6 wie o tajemniczym odbiorcy niewiele – zaledwie tyle że biegle posługuje się językiem angielskim i arabskim oraz że posiada standardowy telefon komórkowy oraz kosztowny, bardzo wysokiej jakości tablet. Wywiad, ze względu na brak możliwości działania na terytorium UK, przekazuje tę informację do MI5 (brytyjski kontrwywiad) i właśnie do GCHQ. MI5 na tę chwilę nie jest w stanie tak niewielkiej ilości informacji powiązać ze znanymi faktami, więc cała nadzieja w GCHQ. Zadaniem analityków służby będzie dowiedzieć się jak najwięcej o autorze instrukcji oraz – na tej podstawie – określić poziom zagrożenia.

GCHQ sporadycznie dostaje nazwisko czy adres – kompletne dane o osobach, które musi poddać analizie. Zazwyczaj musi pracować na podstawie strzępków informacji, tak jak w opisywanym przykładzie. Co dzieje się dalej z takimi wskazówkami? Rozpoczyna się żmudna „detektywistyczna” robota:

Wydaje się niemożliwe aby bez choćby numeru telefonu czy adresu e-mail ustalić tożsamość tajemniczego pośrednika. A jednak – GCHQ wprawdzie nie wie kim on jest, ale posiada dość solidne informacje o przekazującym instrukcję członku ISIL (w końcu jest „zarejestrowanym” terrorystą). Po uzyskaniu wszystkich niezbędnych pozwoleń służba otrzymuje wykazy połączeń telefonicznych salafity. Biorą się za nie analitycy, którzy odtwarzają na ich podstawie jego aktywność telefoniczną w okresie, kiedy nastąpiło spotkanie z nieznajomym i przekazanie instrukcji zamachu. Pomimo iż jest on członkiem ISIL większość jego kontaktów najprawdopodobniej będzie całkowicie niezwiązana z działalnością terrorystyczną. Jak zatem GCHQ typuje kontakty podejrzane?

Analitycy gromadzą wszystkie posiadane informacje i wyodrębniają z nich te które uważają za istotne, czyli takie które ich zdaniem mogą wiązać się bezpośrednio z dostarczonymi przez MI6 tropami:

Aparat telefoniczny nieznajomego został przez informatora MI6 opisany jako „standardowy”, co nie do końca pasuje do kogoś posiadającego najlepszej jakości, bardzo kosztowny tablet. Analityk, posiadający szeroką wiedzę i doświadczenie w analizie zachowań ekstremistów islamskich, dobrze wie, że nie wystarczy wytypować wszystkie telefony, które kontaktowały się z członkiem ISIL w okresie spotkania. W posiadanych danych szuka zatem powtarzalnych wzorców, charakterystycznych dla kontaktów tego typu. Jeśli je znajduje – musi jakoś je sprawdzić, aby potwierdzić że wytypowane telefony należą do tajemniczego pośrednika.

W pracy analityka GCHQ ważne jest, aby zawsze pamiętać treść informacji inicjalnej. Jeśli o niej zapomni i nie będzie się wciąż do niej odnosił, może zgubić istotne szczegóły które mogą być kluczowe dla identyfikacji podejrzanego:

Wysokiej jakości, drogi nowy tablet zdaje się być cechą wyróżniającą nieznajomego. Ponownie po uzyskaniu wszystkich pozwoleń analityk, w trakcie analizy ruchu internetowego, typuje kilkanaście tabletów najwyższej klasy, które mogą należeć do pośrednika. To dużo, ale jeden z nich, prawdopodobnie przez przypadek bądź błąd nieznajomego, jest powiązany ze standardowej jakości telefonem komórkowym, znajdującym się na liście podejrzanych numerów z poprzedniego kroku. Analiza nie skutkuje zatem wskazaniem personaliów podejrzanego, ale wytypowaniem numeru telefonu oraz tabletu, którymi się posługiwał. Analityk pisze raport, w którym opisuje swoje ustalenia a GCHQ dba o to, aby dokument przekazany został do MI5 i MI6.

Praca ze strzępkami informacji inicjalnej pozwoliła na stworzenie teorii, która nadaje się do przeprowadzenia dalszego śledztwa:

Analityk GCHQ zawęził tropy do tych, które pasują do informacji przekazanej pierwotnie przez MI6 i na postawie jego raportu możliwe będzie przeprowadzenie dalszego śledztwa. Dzięki danym pochodzącym z analizy ruchu internetowego możliwe było prześledzenie zachowań nieznajomego pośrednika i wyselekcjonowanie na przykład jego logowań do kont w różnych serwisach internetowych. Informacje uzyskane w ten sposób porównywane są z tymi pochodzącymi z innych śledztw i dzięki temu pośrednik może zostać zidentyfikowany. W ten sposób GCHQ może zdobyć jego personalia.

Analiza sygnałów telekomunikacyjnych to potężne narzędzie, dzięki któremu można odpowiedzieć na pytania pozornie bez odpowiedzi. Umiejętność wykorzystania fragmentarycznych danych do budowania teorii i prowadzenia kompleksowych poszukiwań, pozwala na szybkie zawężenie tysięcy opcji. Dzięki temu można uzasadnić dalsze śledztwo:

Wprawdzie informacje dotyczące personaliów podejrzanego są wciąż hipotetyczne, ustalenia te przekazywane są MI5 w celu przeprowadzenia dochodzenia. Analityczne śledztwo GCHQ niniejszym wskazało prawdopodobną tożsamość nieznajomego pośrednika, który może być zamieszany w działania mające na celu przeprowadzenie ataku terrorystycznego na terenie UK.

Źródło: gshq.gov.uk

* Niniejszy artykuł nie jest tłumaczeniem, lecz omówieniem treści zawartych w artykule GCHQ.

Dodaj komentarz