Osissa 1 ja 2 rakennettiin yhden lähteen fuusioputki. Osat 3 ja 4 sulkevat kuilun operatiiviseen puolustustodellisuuteen. Todellinen puolustusfuusio ottaa syötteitä useilta tiedustelulajeilta — SIGINT, IMINT, ELINT, OSINT, HUMINT, GEOINT, MASINT — joista jokaisella on omat semantiikkansa, viiveensä, luokituksensa ja julkaisukelpoisuutensa. Niiden käsitteleminen keskenään vaihdettavissa olevina havaintoina on yleisin yksittäinen arkkitehtuurivirhe puolustusfuusio-ohjelmissa. Osa 3 käsittelee multi-INT-fuusion tekniikkaa ja sitä luokittelukoneistoa, jota puolustus tarvitsee ainutlaatuisella tavalla.
Käsitteellinen perusta on artikkelissa Täydellinen opas puolustuksen datafuusioon; koalition tiedonjaon kehys on artikkelissa Koalition tiedonjaon haasteet; RBAC-perusta on artikkelissa Roolipohjainen pääsynhallinta puolustuksen C2-järjestelmissä.
Vaihe 1: Multi-INT-semantiikka ei ole keskenään vaihdettavissa
Jokainen tiedustelulaji kantaa erilaista semantiikkaa. Pelkän suuntiman antava SIGINT-kontakti kertoo suunnan mutta ei etäisyyttä. IMINT-havainto antaa täsmällisen sijainnin yhdellä ajanhetkellä mutta ei kinematiikkaa. OSINT-raportilla on epävarma attribuutio mutta mahdollisesti rikas konteksti. HUMINT-raportilla on suuri viive ja lähdesuojavaatimukset. Näiden romahduttaminen yhteen geneeriseen ”havainto”-tietueeseen hukkaa sen informaation, jota fuusio tarvitsee luotettavien maalien tuottamiseen.
Kentät, jotka erottavat multi-INT-havainnot toisistaan:
- SIGINT — suuntimalinja, taajuus, modulaatio, lähetintyyppi, sieppausaika. Sijainti lasketaan kolmiomittauksella, jos useampi asema raportoi saman lähettimen; muutoin tuntematon.
- IMINT — täsmällinen sijainti kuva-aineiston tulkinnasta, identiteetti visuaalisesta tai automaattisesta luokittelusta, keräysaika. Uusintakäyntien tiheys mitataan tunneissa.
- ELINT — lähettimen karakterisointi (tutkan pulssiparametrit, signatuuri). Menee päällekkäin SIGINTin kanssa mutta keskittyy elektroniseen taistelujärjestykseen.
- OSINT — poimittu julkisista lähteistä, sisältäen attribuution epävarmuuden, lähdeluottamuksen ja viittausketjun. Yhä tärkeämpi; käsitellään artikkelissa OSINT-uhkavalvonta puolustukselle.
- HUMINT — henkilölähdetiedustelu, suuri viive sekä luokituksen ja lähdesuojan herkkyys. Ei voida levittää koalitiokumppaneille ilman julkaisukelpoisuuden puhdistusta.
- GEOINT — yhdistää kuva-aineiston maaston analyysiin, reittiennusteisiin ja elämänkaava-päättelyyn.
- MASINT — mittaus- ja signatuuritiedustelu; kattaa akustisen, infrapuna-, ydin- ja muun erikoistuneen aistinnan. Usein toimialakohtainen (sukellusveneentorjunta, ohjuspuolustus).
Kanoninen maaliskeema mukautuu näihin kantamalla lähdelajin metatietoja standardikenttien ohella. Fuusiomoottori viittaa lajiin laskiessaan assosiaatiotodennäköisyyksiä (pelkän suuntiman antava SIGINT-havainto ei voi suoraan päivittää kinemaattista maalia ilman suuntiman täsmäytyslogiikkaa; IMINT-pistemääritys saa päivittää sijainnin mutta ei nopeutta).
Vaihe 2: Multi-INT-fuusioarkkitehtuuri
Tuotannossa toimiva multi-INT-fuusion arkkitehtuurimalli:
Lajikohtaiset adapterit. Jokaisella tiedustelulajilla on oma adapteriperheensä lajikohtaisine logiikkoineen. Adapterin tehtävä on tuottaa kanonisen skeeman mukaisia, lähdelajilla merkittyjä havaintoja, ei tulkita lajien välillä.
Lajitietoinen korrelointi. Fuusiomoottorin korrelointilogiikka viittaa lähdelajin metatietoihin. Sääntöpohjainen portitus sisältää lajien yhteensopivuussäännöt (”alusta koskeva HUMINT-raportti voi päivittää IMINT-vahvistetun alusmaalin vain, jos identiteetti täsmää korkealla luottamuksella”). Todennäköisyyspohjainen assosiaatio käyttää lajikohtaisia prioreita.
Fuusio rikastaa, ei korvaa. Kun multi-INT-havainnot ovat yhtä mieltä, ne vahvistavat luottamusta. Kun ne ovat eri mieltä, fuusiomoottori nostaa erimielisyyden operaattorin nähtäville sen sijaan, että valitsisi yhden. Maali, jolla on kaksi luotettavaa mutta ristiriitaista identiteettiraporttia, ei ole ”väärä” — se on aidosti monitulkintainen, ja operaattorin on tiedettävä se.
Lajien välinen analytiikka erillisinä palveluina. Korkeamman tason analytiikka, joka kattaa useita lajeja — elämänkaava-tunnistus (Elämänkaava-analyysi), poikkeavuuksien havaitseminen käyttäytymisestä, verkostoanalyysi — toimii erillisinä palveluina, jotka kuluttavat fuusioitua maalivirtaa. Ne tuottavat rikastettuja merkintöjä olemassa oleviin maaleihin, eivät uusia maaleja, jotka kilpailisivat fuusiomoottorin kanssa.
Vaihe 3: Luokittelumerkinnät STANAG 4774/4778 -standardien mukaan
Jokainen alustan tuottama datakohde kantaa luottamuksellisuusmerkintää. STANAG 4774 määrittelee merkintämuodon; STANAG 4778 määrittelee kryptografisen sidonnan, joka estää merkintöjen irrottamisen niiden merkitsemästä datasta. Yhdessä ne ovat kaiken koalition tiedonjaon perusta NATO-ympäristöissä.
Tekninen integraatio:
Jokainen adapteri kantaa lähteen luokitusta. Jokainen adapteri tuntee lähteensä luokituksen (määritetty osan 1 lähdeluettelossa) ja merkitsee sen jokaiseen havaintoon. Adapteri on havaintojensa luokituksen totuuden lähde.
Merkinnät ovat rakenteisia, eivät merkkijonoja. Luokitusmerkintä ei ole ”SECRET”; se on rakenteinen objekti, jossa on luokitustaso, lokerot, julkaisukelpoisuusmerkinnät ja sidontaallekirjoitus. Merkintäkirjasto toteuttaa STANAG 4774 -sarjallistuksen ja STANAG 4778 -sidonnan; jokainen havainto kulkee sen läpi.
Merkinnät levitetään, ei luoda uudelleen. Kun fuusiomoottori päivittää maalin, maalin tosiasiallinen luokitus lasketaan lähdejoukosta, ei määritetä itsenäisesti. SECRET-tutkapaluusta ja UNCLASSIFIED-AIS-viestistä johdettu maali on SECRET. Levityskuri on mekaanista; sen tekeminen väärin on akkreditointivirhe.
Sidonta säilyy sarjallistuksessa. Kun maalit sarjallistetaan levylle, viestiväylälle tai siirtotielle, STANAG 4778 -sidonta pysyy kiinni. Sidonnan riisuminen ”mukavuussyistä” on juuri sellainen oikotie, jota akkreditoinnin tarkastajat erityisesti etsivät.
Vaihe 4: Luokituksen leviäminen fuusion läpi
Fuusiomoottori luo johdettua dataa. Maali on johdos useista lähdehavainnoista; sen luokitus on laskettava niiden luokituksista. Leviämissäännöt:
Luokitustaso on lähdejoukon korkein. SECRET- ja UNCLASSIFIED-lähteistä johdettu maali on SECRET. Korkeimman tason sääntö on anteeksiantamaton mutta hyvin ymmärretty.
Lokerot ovat lähdejoukon yhdiste. HIGH-VALUE-TARGET-lokeron lähteestä ja HUMAN-INTELLIGENCE-lokeron lähteestä johdettu maali kantaa molemmat lokerot. Pääsy edellyttää selvitystä molempiin.
Julkaisukelpoisuus on lähdejoukon leikkaus. Vain FVEY- ja vain NATO-lähteistä johdettu maali on julkaisukelpoinen vain leikkaukselle (FVEY-ja-NATO, mikä käytännössä tarkoittaa niitä neljää FVEY-valtiota, jotka ovat myös NATO-jäseniä). Leikkaussääntö on operatiivisesti merkittävin ja se, joka ad hoc -toteutuksissa menee useimmin pieleen.
Attribuuttikohtainen luokitus siellä, missä sillä on merkitystä. Maalin sijainti voi olla laajalti julkaisukelpoinen, kun taas sen identiteetti on rajatumpi. Skeema tukee attribuuttikohtaista luokitusta; politiikkamoottori arvioi attribuuttikohtaisen pääsyn kyselyhetkellä.
Keskeinen oivallus: Luokituksen leviämistä ei voi jälkiasentaa. Fuusioalusta, joka jätti luokituksen huomiotta alkukehityksessä ja yritti lisätä sen myöhemmin, kulutti monivuotisia refaktorointeja ja toimitti myöhässä. Rakenna leviämiskoneisto fuusiomoottorin rinnalle ensimmäisestä sprintistä alkaen; operatiivinen kirjanpito vaatii sitä lopulta, ja aikaisemmin on dramaattisesti halvempaa kuin myöhemmin.
Vaihe 5: Julkaisukelpoisuuden politiikkamoottori
Datassa olevat luokitusmerkinnät ovat välttämättömiä mutta eivät riittäviä. Pääsypäätökset edellyttävät politiikkamoottoria, joka tuntee käyttäjän turvallisuusselvityksen, kansalaisuuden ja roolin sekä pyydetyn datan luokituksen, lokerot ja julkaisukelpoisuuden. Jokainen maalitietovarastoon kohdistuva kysely kulkee tämän moottorin läpi.
Tekninen malli:
Politiikka koodina. Julkaisukelpoisuussäännöt ilmaistaan versioidulla politiikkakielellä — Open Policy Agentin Rego on puolustettava oletus. Politiikkamuutokset käyvät läpi koodikatselmoinnin, eivät konfiguraatiomuutoksia. Politiikkapäätösten historia on auditoitavissa versionhallinnasta.
Päätösten arviointi kyselyrajalla. Kun kuluttaja kysyy maalitietovarastoa, politiikkamoottori arvioi, mitkä maalit ovat näkyvissä ja mitkä attribuutit ovat näkyvissä maalikohtaisesti. Tuloksena on suodatettu näkymä, ei täysi data käyttöliittymämaskilla. Pelkkä käyttöliittymäsuodatus on Common Criteria -rikkomus ja akkreditoinnin esteenä.
Päätöskohtainen auditlokit. Jokainen pääsypäätös — mikä käyttäjä, mikä data, mikä luokitus, mikä tulos — kirjataan muuttumattomasti. Auditlokit ovat akkreditointikatselmoinnin ja operatiivisen forensisen analyysin näyttöperusta.
Suorituskykybudjetit. Politiikkamoottori sijaitsee COP:n kriittisellä polulla; sen arviointiviiveen on oltava alle millisekunnin per päätös. Välimuististrategiat, esikäännetyt politiikkaniput ja käyttäjäkohtaiset politiikkasormenjäljet kaikki merkitsevät. Naiivi politiikkamoottori on yleisin syy COP:n hitauteen luokitelluissa käyttöönotoissa.
Politiikkamoottorimallin, koalition tiedonjaon vaikutusten ja vältettävien operatiivisten antimallien yksityiskohtainen käsittely on artikkelissa Koalition tiedonjaon haasteet.
Vaihe 6: Enklaavien väliset datavirrat
Puolustusverkot eivät ole yksittäisiä enklaaveja. Alustan, joka toimii NATO RESTRICTED-, NATO SECRET- ja kansallisesti luokiteltujen verkkojen yli, on siirrettävä asianmukaista dataa niiden välillä samalla estäen epäasianmukaiset datavirrat. Arkkitehtuurimalli:
Enklaavikohtaiset fuusioinstanssit. Jokainen luokiteltu enklaavi ajaa oman fuusioinstanssinsa omalla lähdejoukollaan, maalitietovarastollaan ja politiikkamoottorillaan. Instanssit ovat fyysisesti erotettuja; alusta ei oleta niiden jakavan tilaa.
Toimialueiden väliset sillat. Siellä missä data laillisesti siirtyy enklaavien välillä — esimerkiksi luokittelematon AIS-syöte virraten ylös SECRET-enklaaviin tai julkaisukelpoisuudesta puhdistettu tuote virraten alas koalitioenklaaviin — siirto kulkee akkreditoidun toimialueiden välisen sillan kautta, ei suoran yhteyden. Silta valvoo luokitussääntöjä rajalla.
Yksisuuntaiset diodit siellä, missä fysiikka pakottaa suunnan. Korkealta puolelta matalalle puolelle tapahtuvassa datasiirrossa (mikä on harvinaista ja operatiivisesti herkkää) yksisuuntaiset datadiodit pakottavat suunnan verkkokerroksella. Fuusioalusta integroituu diodi-infrastruktuuriin sen sijaan, että toteuttaisi omansa.
Manuaalinen julkaisu siellä, missä automaatio epäonnistuu. Joitakin luokituspäätöksiä ei voi automatisoida turvallisesti. Tuotekohtaiset julkaisupäätökset HUMINT- tai lokeroidulle datalle voivat edellyttää ihmisen hyväksyntää. Alustan on mukauduttava työnkulkuun — nostaa esiin julkaisuehdokas, tallentaa ihmisen päätös ja levittää hyväksytty julkaisu.
Vaihe 7: Operatiiviset näkökohdat
Multi-INT-fuusio operaatioissa nostaa esiin haasteita, jotka eivät näy kehityksessä. Lajit, jotka erottavat operatiiviset alustat demoalustoista:
Lähdeattribuutio säilyy leviämisen läpi. Kun maalia kysytään, vastaus sisältää siihen vaikuttaneen lähdejoukon. Operaattorien on tiedettävä, tuliko sijainti tutkasta (korkea kinemaattinen luottamus, identiteetti epävarma) vai HUMINTista (matala paikkatarkkuus, identiteetiltään kontekstirikas). Lähdeattribuutio tekee tämän läpinäkyväksi.
Erimielisyys säilytetään, ei romahduteta. Kun kaksi lähdelajia ovat eri mieltä maalin identiteetistä, fuusiomoottori säilyttää molemmat vaihtoehdot luottamuksineen. Operaattori päättää; alusta nostaa esiin.
Lokeroiden haarautuminen on rajattu. Maalilla, jolla on monta lokeroa, on monta erillistä mahdollista yleisöä. Järjestelmän on laskettava julkaisukelpoisuus tehokkaasti silloinkin, kun lokerojoukko on suuri.
Auditointi kattaa jokaisen julkaisupäätöksen. Jokainen toimialueiden välinen siirto, jokainen kyselykohtainen suodatustulos, jokainen lokeron eskalointi kirjataan. Auditlokit tukevat operatiivista forensista katselmointia, akkreditointinäyttöä ja jälkikäteisanalyysiä. Yksityiskohtainen malli on artikkelissa Tapahtumalähteistäminen puolustuksen auditointijäljissä.
Kyberhavainnot multi-INT-tietona
Yhä useammin kyberhavainnot virtaavat samaan fuusioputkeen kuin fyysisen toimialueen havainnot. Vahvistettu verkkotunkeutuminen, vuotanut tunnistetietojoukko, OSINTista johdettu attribuutiovihje — kustakin voi tulla havainto multi-INT-fuusiovirrassa. Arkkitehtoninen sopivuus on todellinen mutta vaatii huolellisuutta: kyberdatalla on erilainen viive, luottamus ja luokitussemantiikka kuin fyysisen toimialueen datalla. Mallia käsitellään artikkelissa CTI-alustat puolustukselle ja laajempaa näkemystä kyberistä fuusiolajina artikkelissa Täydellinen opas puolustuksen kyberturvallisuuteen.
Tekninen päätös: rakenna kyberkohtaiset adapterit, jotka tuottavat kanonisen skeeman havaintoja merkittynä lajilla ”kyber” samalla säilyttäen kyberkohtaiset metatiedot (kompromissin indikaattorit, uhkatoimijan attribuutio, tappoketjun vaihe). Fuusiomoottori käsittelee kyberhavaintoja kuten muitakin multi-INT-syötteitä; kyberkohtaiset työkalut (CTI-alustat, SIEM/SOAR) kuluttavat samaa maalivirtaa omiin tarkoituksiinsa.
Mitä seuraavaksi
Osa 3 on käsitellyt multi-INT- ja luokittelukoneiston. Alusta korreloi nyt havaintoja tiedustelulajien välillä säilyttäen niiden semanttiset erot, levittää luokituksen fuusion läpi oikein, valvoo julkaisukelpoisuutta politiikkamoottorilla ja toimii luokiteltujen enklaavirajojen yli.
Osa 4 päättää sarjan operationalisointiin: fuusioalgoritmien ajautumisvalvonta, akkreditointia tukeva auditointiputki, tuotantokäyttöönoton mallit (pilvestä ilmavälitteiseen) ja pitkän hännän ylläpitokuri, joka pitää alustan toiminnassa 20 vuoden elinkaaren ajan.