Simovits

OSINT i spåren av Ukraina kriget

Denna bloggartikel tar upp aspekter på OSINT i samband med kriget i Ukraina. Artikeln tar upp generella likheter mellan underrättelseanalys och motsvarande typer av civila utredningar, men visar också på svårigheterna att värdera information. Ofta tenderar en person att söka information som inte bara besvarar de frågor som ställs utan också bekräftar de slutsatser man själv redan lutar mot.

Händelserna i Ukraina har ändrat synen på säkerhet i stort och vår förmåga att hålla oss informerade om omvärldsläget. Tidigare har främst stater haft resurser att ägna sig åt underrättelsetjänst, men det moderna informationssamhället har ändrat förutsättningarna.

Situationen innan angreppet under 2022 var också annorlunda än förhållandena var 2014. Det fanns nu flera kommersiella satellitbilder och öppna källor som analyserade styrkeuppbyggnaden längs Ukrainas gränser. Det fanns också gott om sociala medier i de länder som var inblandade i konflikten [1]. Svårigheten var snarare hur man kan tolka och reagera på den information som fanns tillgänglig.

Situationen före invasionen av Ukraina

För att förstå bedömningarna före invasionen finns en artikel i Politico: ‘Something Was Badly Wrong’: When Washington Realized Russia Was Actually Invading Ukraine. [2]

Där beskrivs både själva förloppet, hur olika händelser tolkades och vilka åtgärder som vidtogs. Eftersom samma metoder som används i politisk och militär analys även används civilt i form av business intelligence eller competitive intelligence går det att göra jämförelser.

Det var både omfattningen av de ryska förberedelserna och på vilka punkter de skilde sig från en övning som skapade insikten att en invasion var trolig. Dessa slutsatser drogs inte bara av professionella organisationer utan även av andra experter, journalister och militärbloggare som visade på satellitbilder av de fordonsparker som byggts upp nära gränserna. [3]

Till detta kom andra signaler som att större mängder ammunition och medicinska förråd, inklusive blod som har en begränsad hållbarhet, faktiskt distribuerades ut till förbanden. Tillsammans med ett diplomatiskt utspel veckan före jul om att NATO skulle förbinda sig att inte ta emot nya medlemmar [4] bedömdes sannolikheten för en invasion hög och redan tidigare intensiva diplomatiska påtryckningar från väst intensifierades ytterligare fram tills att invasionen faktiskt skedde.

För att på egen hand kunna dra tillförlitliga slutsatser om sannolikheten för en invasion krävdes tillgång till satellitbilder som var aktuella. Men när dessa sprids publikt kan andra lättare se att platser stämmer och jämföra mot äldre bilder för att avgöra att vilka förändringar som skett. Professionella organisationer prenumererar på satellitbilder och har även tillgång till signalspaning och annan informationsinhämtning.

En sekundär informationskälla var flödet av flyg och fartygstrafik i området. En tid innan invasionen upphörde den civila flygtrafiken och den militära spaningsflygningen drog sig tillbaka till säkert luftrum.

Det kan vara svårt att skilja en övning från anfallsförberedelser eftersom de ofta handlar om samma typ av åtgärder. Ett anfall under eller strax efter en avslutad övning är därför också ett av de scenarier man utgår från.

En underrättelseanalys svarar oftast på frågan om motpartens kapacitet, tex om han har förmåga att anfalla inom ett par dagar. En underrättelsebedömning svarar oftast på frågan om motpartens avsikter eller handlingsmöjligheter. Analyserna styr normalt vilka förberedelser och skyddsåtgärder man anser vara nödvändiga.

Situationen efter invasionen av Ukraina

Efter att invasionen väl inletts så var den inledande ovissheten över och bevakningen blev mer traditionellt nyhetsmässig. Satellitbilder fortsatte att studeras för Belarus, men för Ukraina övergick bevakningen i huvudsak till lägeskartor [5,6]. Det finns flera kartprojekt, vissa drivs i samarbete med externa organisationer och några finns i en civil och en militär version. En ny typ av satelittjänst som kom till användning var brandkartorna [7] som uppdateras frekvent och var först med att ge ett slags indikation på var strider pågick.

Flera organisationer, främst Oryx [8] tog inledningsvis på sig att inventera förlorad materiel (främst stridsfordon). Andra experter och militärbloggar tog på sig att förklara vad som händer och möjliga scenarier.

Ganska snabbt uppkom ett behov att dokumentera och utreda krigsbrott. Detta kom att kombineras med en bevakning av bilder och klipp på sociala medier, inklusive ryska sociala medier, och på så sätt kunna fånga upp information som kunde binda samman förövare och offer och därigenom kunna användas som bevis i framtida rättegångar.

Det kan tyckas paradoxalt att krigsbrott dokumenteras på nätet, men det sker relativt ofta. Det är också känt att falska bilder och filmer sprids. Till detta kommer olika former av missbedömningar och osäkerhet samt försök till informationspåverkan.

Ett av de mest kända brotten är massakern vid Yublanska Street i Bucha av 234 fallskärmsjägarregementet som utreddes under åtta månader av New York Times [9]. Det visade sig att offren avtvingades sina mobiltelefoner som förövarna sedan använde för att ringa hem till sina egna familjer enligt telefonräkningarna. I nästa steg blev sedan förövarnas familjer uppringda av journalisterna. Delar av massakern fångades också av övervakningskameror längs vägen. Även om detta avslöjande inte enbart är beroende av öppna källor så är journalistiska databaser ett av de viktigaste verktygen för fortsatta OSINT utredningar. Förutom information om ett stort antal händelser så finns databaser över civila förluster, ryska förband och ryska personalförteckningar.

Jämförelser mellan militära och civila analyser

Enklast är att jämföra en militär analys med exempelvis en due diligence utredning för ett företag som vill veta om en marknad är säker med hänsyn till konkurrens, korruption, regimskiften eller väpnade konflikter. Båda typerna av utredningar kan ha ett högt sekretessvärde, vare sig man vill skydda källor eller skydda sig från marknadspåverkan och insiderproblematik.

Både militära och civila analyser använder öppna källor, exempelvis officiell statistik, nyhetskällor, fackpress inklusive militära och tekniska  publikationer, bolagsinformation och personinformation för personer av intresse för utredningen. Till detta kommer givetvis andra typer av källor och organiserat utbyte av information.

Där militär analysteknik är förhållandevis sluten är civil analyser mer öppen. Detta hänger delvis samman med att journalistiskt erfarenhetsutbyte och uppbyggnad av civila organisationer för att motverka olika former av orättvisor. Slutligen har civila organisationers behov av best practice för utredningar lett till ett ökat fokus på OSINT och vad en utredning bör omfatta.

Civila utredningar kan också använda satellitbilder och flygfoton, exempelvis fordonsindustrin kan studera konkurrenters lager (uppställda fordon) och gruvindustrin kan studera både dagbrott och slagghögar för att bedöma konkurrenters verksamhet. I konfliktområden kan satellitbilder ge en grov vägledning om området är säkert genom att studera hur bosättningar och samhällen utvecklats. Även om samma effekter kan uppstå på grund av naturkatastrofer eller av överbefolkning följt av svält så finns ofta samband som kan behöva analyseras.

Ofta finns det ett fokus på begreppen förklara och förstå i en analyssituation. Vanligen har man gjort en eller flera observationer och börjat ställa sig frågor. I fallet med Ukraina kan detta avse uppladdningen kring gränsen i kombination med de politiska utspelen.

Första stegen efter att ha samlat observationer är att försöka hitta rimliga förklaringar som beskriver observationerna och kan hjälpa till att bedöma den fortsatta utvecklingen. Detta kan jämföras med hypotesprövningar och ge upphov till följdfrågor och områden som behöver utredas ytterligare. Man kan också jämföra med brottsutredningar där man ofta kan klargöra delar av ett händelseförlopp, men inte riktigt kan förklara motiv, grundläggande orsaker eller vilka alternativ motparten bedömde sig ha. Ofta befinner man sig bara i en situation där man måste reagera på ett hot utan att riktigt förstå orsakerna. Det är i en sådan situation viktigt att kunna skilja mellan observationer, möjliga förklaringar och de egna slutsatserna.

Särskilda OSINT resurser avseende Ukraina

De grundläggande resurserna är lägeskartor [5,6] med en viss historik och webbplatser som Civilian harm i Ukraine – Bellingcat [10]. Detta ger ett stöd att hänga upp händelser på i tid och rum. Det finns även ett flertal sidor som kan ge hjälp att identifiera olika förband, fordonstyper och vapentyper och även uppgifter om enskilda soldater [11].

Det byggs naturligt upp kontaktnät med personer som vill kartlägga händelser och rapportera ryska förband på sociala medier. Detta kan ge fördelar så att dubbelrapportering undviks  och att resurser kan slussas till områden där mer information efterfrågas. Samtidigt finns alltid en viss osäkerhet om vilken sida en viss person egentligen sympatiserar med.

Information om ukrainska dokument och identitetshandlingar [12], nationella arkiv [13] och engelskspråkig press finns att tillgå.

Den som vill anmäla ett krigsbrott efter att ha hittat något på sociala medier behöver inte utreda brottet själv. Ukrainska myndigheter har en länk där man kan rapportera sin iakttagelser, länka till sociala medier samt ladda upp bilder eller filmklipp ifall de raderas från sociala medier.

Inverkan av Berkeley Protocol on Digital Open Source Investigations

En annan frågeställning berör hur OSINT påverkats av händelseutvecklingen och vilken betydelse utredningar av krigsbrott har i detta sammanhang.

Internationella brottsdomstolen, ICC, i Haag är den domstol där krigsbrott i Ukraina kan komma att avhandlas. Berkeley protokollet [14] är en guide till att utföra OSINT på ett rättssäkert sätt och så att domstolens regler rörande personlig integritet inte kränks. Avsteg från godkänd insamling och hantering av bevis är en grund för domstolen att avvisa bevisning.

Protokollet tillför inte så mycket ny kunskap om OSINT som en teknik, men tar upp aspekter hur information på sociala medier ska dokumenteras för att ha ett framtida bevisvärde. Den tar också upp behovet av anonymitet för den som samlar in information.

Några aspekter kring OSINT i relation till kriget

Några händelser som rapporterats av journalister har tydliga kopplingar till OSINT.

Uppgifter om ukrainsk inblandning i kampen mot Wagner i Sudan har refererats i media utan att all fakta har kunnat beläggas. Men det har gått att lokalisera vissa filmklipp som förekommit [15] gentemot Google Earth.

Det har också gått att spåra viss desinformation som förekommit på sociala medier. Ett exempel är ett proryskt konto OSINTDefender som enligt Bellingcat tycks kunna kopplas till en amerikansk militär [16]. Detta har sedan fått ett större medialt intresse efter att kontot citerats som trovärdigt på sociala medier.

Ett annat exempel är sprängningen av Nord Stream där olika fartygsrörelser analyserats mer eller mindre i detalj. Tyvärr går sprängningen inte att klarlägga enbart med journalistiska metoder eftersom information saknas eller inte är öppet tillgänglig.

Om man väljer att bortse från journalistiken så kan man ändå tänkas analysera händelsen ur ett underrättelseperspektiv. Enklast går man då igenom de mest troliga aktörerna och de olika motiv de kan ha haft för sprängningen. För varje kombination gör man sedan en bedömning över motivet, konsekvenser på kort och lång sikt samt vilka egna åtgärder som kan bli aktuella beroende på den fortsatta händelseutveckling. Det är alltså inte bara sannolikheten för ett visst alternativ som är intressant utan också de risker som kan uppstå i de mest ogynnsamma fallen.

Vill man studera Nord Stream utifrån öppna källor så är det inte bara fartygsrörelse som är intressanta utan även ekonomiska följder (alternativa kostnader för gasinköp, uteblivna intäkter av gasförsäljning, skadestånd för uteblivna leveranser) samt propagandamässiga effekter (vem beskylls, vilka grupper agerar på sociala medier).

Utpekandet av segelbåten Andromeda för Nord Stream sabotaget

Turerna kring den utpekade segelbåten Andromeda är intressant. Det finns tre perspektiv som kan undersökas, nämligen journalistiken, brottsutredningen och underrättelseanalysen.

Det journalistiska uppdraget är att bevaka och beskriva händelseförlopp. I detta ingår att söka information, ta emot tips och värdera trovärdigheten i den information som kommer fram. I fall som detta finns motstridig information, försök till påverkan och medveten spridning av felaktig eller vilseledande information. [17]

Även om ett uppslag kan vara tveksamt så behöver tips bearbetas och utredare intervjuas. Vid publicering får man ange vad som ligger till grund för publiceringen eller vad en utredare faktiskt sagt. Mediaföretag kan också publicera flera skilda uppslag utan att försöka bygga upp en sammanhållen bild av vad som hänt. [18,19]

Brottsutredningens uppdrag är att objektivt samla in fakta, klarlägga vad som hänt och vad som går att utreda. I detta fall är inte all information tillgänglig, det går inte höra alla utländska parter och det går förmodligen inte att med säkerhet klarlägga vilka som genomfört sabotaget. Däremot går det att undersöka själva platserna där explosioner skett och utpekade spår som segelbåten.

Det ligger i utredningens natur att alla rimliga spår ska följas upp och redovisas. Även om man kan ha anledning att misstänka att något spår är fabricerat så måste det först utredas så gott det går och man kan inte avfärda något på förhand eller ge intryck av att något inte utreds. [19] Även ett villospår kan ge information om vilka som vill plantera bevis eller rikta misstankar åt ett visst håll.

Underrättelseverksamhetens uppdrag är värdera vilka realistiska alternativ som finns och utifrån dessa dra praktiska slutsatser om exempelvis framtida skyddsåtgärder och omprioriteringar. Dessa bedömningar kan behöva göras även på ofullständiga underlag.

Det finns flera bedömningar av konsekvenserna av sabotaget mot Nord Stream. Före sanktionerna ansågs Ryssland och Tyskland tjäna på förbindelsen medan Ukraina förlorade då den förbindelse som gick genom Ukraina minskade i betydelse. [20]

Efter att sanktionerna infördes så minskade också Nord Stream i betydelse. [21,22] Det har invänts att Ryssland skulle förlora på att förstöra sin egen infrastruktur. Samtidigt kan det finnas flera vinster med ett sabotage även mot egen infrastruktur. [23] Skälen kan vara att skapa osäkerhet, oro för fortsatta sabotage mot europeisk infrastruktur [23, 24, 25] och kanske framförallt att minska stödet för Ukraina. Det senare både genom att skicka en varning att ett fortsatt stöd kan få konsekvenser [25] och genom att peka ut Ukraina som ansvarigt för attacken.

Utpekandet behöver inte nödvändigtvis vara fullt trovärdigt, det kan räcka med att tillräckligt många tvivlar för att minska stödet  för fortsatt militärt och politiskt stöd för Ukraina. Genom att peka ut enskilda personer och på något sätt placera en segelbåt med spår av sprängämnen i närheten av sabotaget så kan utpekandet vinna i trovärdighet och även skapa interna trovärdighetsproblem för Ukraina. Segelbåten behöver alltså inte ha använts för sabotaget, det räcker att den har placerats på platsen för att fylla sin funktion i utpekandet.

Om man jämför artiklar i massmedia om sabotaget eller information från den pågående utredningen med aktuella skyddsåtgärder så kan det tyckas finnas en skillnad i bedömning. I de första fallen pekas Ukraina ut och i det senare fallet förefaller bedömningarna enbart avse Ryssland.

Man bör då tänka på att det har ett större nyhetsvärde när Ukraina pekas ut och att det även har ett större värde för Ukraina att informeras om möjliga missförhållanden i sina egna led.

När det gäller den säkerhetsmässiga bedömningen i sista fallet har man i stället ett mer realistiskt fokus på den dimensionerande hotaktören.

Slutsatser

Bloggartikeln visar att OSINT är enklare att använda när det går att finna kontrollerbara fakta och det i nämnvärd utsträckning saknas vilseledande information. I det aktuella fallet fanns det inte bara gott om fakta utan i lika hög grad gott om bedömningar, budskap och partsutsagor som pekade i olika riktningar.

Bedömningar kan vara subjektiva samt vara baserade på olika grad av kunskap och insikter. Nästan alla källor som går att hitta med OSINT innehåller en blandning av fakta och någon form av bedömningar. Likaså kan budskap vara riktade till olika mottagare, ha olika syften och dra vitt skilda slutsatser.

Det visar sig då viktigt att kunna skilja på fakta och bedömningar samt att rätt kunna värdera andra parters bedömningar. Svårigheterna att avgöra om en invasion skulle äga rum berodde inte i första hand på svårigheterna att hitta fakta utan snarare på svårigheterna att förstå kombinationen av fakta och det politiska spelet samt att dra nödvändiga slutsatser.

Syftet med OSINT är normalt inte att avgöra vad som kan hända eller vad som behöver göras. Det är normalt en uppgift för beslutsfattare som behöver objektiva underlag. Den som utför OSINT analysen behöver därvid i första hand förstå själva frågeställningen och vad underlaget ska kunna användas till.

Referenser

[1] How open-source intelligence has shaped the Russia-Ukraine war: General Hockenhull, Commander Strategic Command, discussed the use of open source intelligence at a RUSI Members Webinar.
https://www.gov.uk/government/speeches/how-open-source-intelligence-has-shaped-the-russia-ukraine-war

[2] ‘Something Was Badly Wrong’: When Washington Realized Russia Was Actually Invading Ukraine.
A first-ever oral history of how top U.S. and Western officials saw the warning signs of a European land war, their frantic attempts to stop it — and the moment Putin actually crossed the border.
https://www.politico.com/news/magazine/2023/02/24/russia-ukraine-war-oral-history-00083757

[3] CNN: Russia accelerates movement of military hardware towards Ukraine, satellite images show
https://edition.cnn.com/2022/02/07/europe/yelnya-russian-hardware-ukraine-border-intl/index.html

[4] Russia: Agreement on measures to ensure the security of The Russian Federation and member States of the North Atlantic Treaty Organization
https://mid.ru/ru/foreign_policy/rso/nato/1790803/?lang=en

[5] DeepStateMap.Live is an open-source intelligence interactive online map of the military operations of the Russian and Ukrainian armies during the Russian invasion of Ukraine.
https://deepstatemap.live/en

[6] Live Universal Awareness Map, commonly known as Liveuamap, is an internet service to monitor and indicate activities on online geographic maps, particularly of locations with ongoing armed conflicts
https://liveuamap.com/

[7] Find out exactly where there are fires in Ukraine right now, according to satellite data from the FIRMS (NASA) service. Update data every hour.
https://www.saveecobot.com/en/fire-maps

[8] Oryx: Attack On Europe: Documenting Russian Equipment Losses During The Russian Invasion Of Ukraine
https://www.oryxspioenkop.com/2022/02/attack-on-europe-documenting-equipment.html

[9] Caught on Camera, Traced by Phone: The Russian Military Unit That Killed Dozens in Bucha. Exclusive evidence obtained in a monthslong investigation identifies the Russian regiment – and commander – behind one of the worst atrocities in Ukraine.
https://www.nytimes.com/2022/12/22/video/russia-ukraine-bucha-massacre-takeaways.html

[10] Civilian harm i Ukraine – Bellingcat: This database, organised on Forensic Architecture’s TimeMap platform and customised for this project, is focused on incidents in Ukraine that have resulted in potential civilian harm.
https://ukraine.bellingcat.com/

[11] Anonymous takes revenge on Putin’s brutal Ukraine invasion by leaking personal data of 120,000 Russian soldiers
https://fortune.com/2022/04/04/anonymous-leaks-russian-soldier-data-ukraine-invasion/

[12] PRADO – Public Register of Authentic identity and travel Documents Online: Ukraine
https://www.consilium.europa.eu/prado/en/prado-documents/UKR/index.html

[13] State Archival Service of Ukraine (National archives of Ukraine)
https://archives.gov.ua/en/

[14] Berkeley Protocol on Digital Open Source Investigations – A Practical Guide on the Effective Use of Digital Open Source Information in Investigating Violations of International Criminal, Human Rights and Humanitarian Law
https://www.ohchr.org/sites/default/files/2022-04/OHCHR_BerkeleyProtocol.pdf

[15] Bellincat: Examining Videos of Suspected Ukrainian Riflemen in Sudan
https://www.bellingcat.com/news/2023/10/07/examining-videos-of-suspected-ukrainian-riflemen-in-sudan/

[16] Bellincat: US soldiers spread propaganda under the guise of OSINT analysts. (bakgrunden till proryska Twitterkontot OSINTDefender)
https://molfar.com/en/blog/viiskovyi-z-ssha-rozpovsyudzhuvav-propagandu-pid-maskoyu-osint-analityka

[17] Wired: Online Sleuths Untangle the Mystery of the Nord Stream Sabotage – Open source intelligence researchers are verifying and debunking opaque claims about who ruptured the gas pipelines in the Baltic Sea.
https://www.wired.co.uk/article/nord-steam-explosions-mystery-osint

[18] Washington Post 2023-11-11: Ukrainian military officer coordinated Nord Stream pipeline attack. Roman Chervinsky, a colonel in Ukraine’s Special Operations Forces, was integral to the brazen sabotage operation, say people familiar with planning.
https://www.washingtonpost.com/national-security/2023/11/11/nordstream-bombing-ukraine-chervinsky/

[19] Washinton Post 2023-04-03:  Investigators skeptical of yacht’s role in Nord Stream bombing.
https://www.washingtonpost.com/national-security/2023/04/03/nord-stream-bombing-yacht-andromeda/

[20] ScienceDirect: The impact of Nord Stream 2 on the European gas market bargaining positions
https://www.sciencedirect.com/science/article/pii/S0301421520304201

[21] ScienceDirect: Nord Stream 2: A prelude to war
https://www.sciencedirect.com/science/article/pii/S2211467X22001766

[22] Geopolitical implications of Nord Stream 2, Research Briefing By Claire Mills 2 March 2022
https://researchbriefings.files.parliament.uk/documents/CBP-9462/CBP-9462.pdf

[23] CSIS – Center for Strategic & International Studies
Security Implications of Nord Stream Sabotage 29 sep 2022
https://www.csis.org/analysis/security-implications-nord-stream-sabotage

[24] Foreign affairs: The Nord Stream Leaks: A Political, Economic, and Environmental Disaster?
https://www.foreignaffairsreview.com/home/the-nord-stream-leaks-a-political-economic-and-environmental-disaster

[25] Carniege politica 2022-09-30: Shock and Awe: Who Attacked the Nord Stream Pipelines?
https://carnegieendowment.org/politika/88062

Publicerat 2023-12-02 Skrivet av Tomas Forsberg