Een rapport waaruit zou blijken dat Chinese hackers een grootschalige spionagecampagne tegen westerse landen en bedrijven uitvoeren, bevat analytische fouten, omdat de opstellers geen rekening houden met het feit dat ook andere landen via internet spioneren. Het Amerikaanse beveiligingsbedrijf Mandiant publiceerde een uitgebreid rapport met bewijs van Chinese cyberspionage.

Over een periode van meerdere jaren werden verschillende campagnes en groepen in kaart gebracht. Eén groep werd er specifiek uitgelicht, genaamd APT1. Deze groep zou opereren vanuit een gebouw dat ook door de Chinese legereenheid Unit 61398 werd gebruikt. Mandiant concludeert dan ook APT1 Unit 61398 is.

Dit zou weer betekenen dat de Chinese regering al dan niet direct de spionageoperaties ondersteunt en hier weet van heeft. Beveiligingsexpert Jeffrey Carr hekelt de opzet van het rapport, omdat het Amerikaanse beveiligingsbedrijf er meteen al vanuit gaat dat Advanced Persistent Threats (APT) aan China gelijk zijn.

"Het feit dat Mandiant niet wil erkennen dat andere landen zich met cyberspionage bezighouden, terwijl de feiten anders laten zien, is wat Richard Heuer de 'verwachting vooringenomenheid' noemt, maar het is veel erger dan dat", aldus Carr.

Heuer is een voormalig CIA-medewerker en psycholoog die gedurende de jaren zeventig en tachtig van de vorige eeuw een studie van methodes maakte om tot betere analyses te komen.

Methode
Een van zijn voornaamste technieken is Analysis of competing hypotheses (ACH). Door deze techniek wordt de inlichtingenanalist gedwongen om de waarschijnlijkheid van meerdere hypotheses te onderzoeken. Hierdoor krijgen alle hypotheses of mogelijke verklaringen een eerlijke kans om getoetst te worden met de aanwezige bewijslast.

De kwaliteit van de analyse verbetert doordat meerdere mogelijkheden worden getoetst. Mandiant lijkt echter geen andere mogelijkheden te willen aannemen. Het beveiligingsbedrijf maakte zelfs een aparte tabel met overeenkomsten waarin het geen ruimte voor een andere conclusie laat.

Spionage
Carr ontkent niet dat de China via het internet zich met grootschalige cyberspionage bezighoudt. "Ik weet dat ze het doen." Hij noemt het voorbeeld van een directeur die naar China ging om met overheidsfunctionarissen te spreken. De schone laptop die hij had meegenomen werd gehackt toen hij in zijn hotelkamer lag te slapen.

"Mijn probleem is dat Mandiant weigert om te overwegen wat iedereen die ik in de lichtingengemeenschap ken bevestigt, dat er meerdere landen zich met spionage bezighouden, niet alleen China. En als je iets roept over attributie, dan moet je zowel eerlijk als grondig in je analyse zijn." Volgens Carr heeft Mandiant dan ook niet aangetoond dat Unit 61398 APT1 is.

China
Inmiddels heeft de Chinese overheid gereageerd en zegt niet achter de aanvallen te zitten. "Cyberaanvallen zijn anoniem en internationaal, en het is lastig om de herkomst van een aanval te traceren, dus ik weet niet of de bevindingen in het rapport geloofwaardig zijn", aldus een woordvoerder van het Chinese Ministerie van Buitenlandse Zaken.