掉进裂缝#

有一次我坐在一个简报室里——不能说在哪——参加的是那种"差点出事之后大家聚在一起搞清楚为什么"的跨部门会议。桌上坐着四个不同联邦机构的代表，每人带着自己的文件夹、自己的缩写术语、自己的指挥链。

问题很简单：一个差点漏网的特定威胁，谁该负责监控？然后我亲眼看着，每个机构代表——礼貌地、专业地、用无可挑剔的官僚逻辑——解释了为什么这不是他们的事。

A机构说这个威胁超出了他们的管辖范围。B机构说他们标记过了，但因为涉及C机构的地盘就转了过去。C机构说从来没收到过转交。D机构说如果有人来问他们就会行动，但没人问。

四个机构。四个完全合理的解释。零问责。一个差点登上头版的威胁。

这不是人的失败。这是架构的失败。而且它每天都在联邦政府中上演。

关于联邦执法和国家安全，大多数人不了解的一件事是：问题不在于机构太少，而在于太多。美国有超过八十个拥有某种执法权的联邦机构。八十个。每个都有自己的领导层、自己的预算、自己的优先事项、自己的文化，以及自己对"核心任务"的定义。

威胁是不看组织架构图的。恐怖分子策划袭击时不会想：“我最好确保这件事正好落在FBI的管辖范围内，好让他们高效处理。“网络犯罪分子在发动攻击前不会先查他的目标归SEC管、还是FTC管、还是CISA管。威胁是流动的。它们跨越边界，利用缝隙。本质上，它们就是跨学科的。

而我们的防御被切成了八十个独立的竖井，每个只针对自己那一小块做了优化，每个按自己的记分卡打分，每个在争自己的经费。

想象一个免疫系统，白血球只处理特定器官的感染，对其他一概不管。肺部的细胞管肺部感染，肝脏的细胞管肝脏感染。但一种在器官之间游走的血源性病原体？没人管。它在系统中自由移动——不是因为它有多聪明，而是因为防御架构的缝隙大到可以开卡车通过。

理解碎片化，首先要理解我所说的"优先级黑洞”。

每个机构都有核心指标——被统计、被汇报、被奖励的那些数字。对FBI来说是大案结案率。对DEA来说是毒品缴获量。对ATF来说是枪支违规案件。这些指标驱动行为，因为它们驱动预算和晋升。如果你是FBI探员，你做的是那些能推进职业发展的案子，也就是你机构看重的案子，也就是符合机构职责范围的案子。

那当一个威胁不能整齐地归入任何一个机构的职责范围时，会发生什么？

它掉进了优先级黑洞。

每个人都看到了它。每个人都承认它存在。但没人认领，因为认领意味着从你实际被考核的事务中抽调资源。用官僚术语说，这是一个"没有经费支撑的任务”——问题存在，但没有制度性的负责人。

我亲眼看过这种事发生在网络威胁上、国内极端主义上、横跨六七个机构管辖范围的跨国犯罪网络上。威胁是真实的。情报是有的。但因为它不能干净利落地映射到任何一个机构的记分卡上，它就在会议和会议之间、备忘录和备忘录之间弹来弹去，直到有人受伤或者威胁自行消散。

优先级黑洞不挑食。它吞噬一切落在组织结构缝隙里的东西——而越来越多最危险的威胁，恰恰就住在那些缝隙里。

第二个问题是经济学家可能称之为"协调税"的东西。

碎片化不是免费的。每当两个机构需要合作，它们都要在时间、流程和摩擦上付出代价。要安排会议。要起草谅解备忘录。要指派联络官。要谈判信息共享协议。要对齐密级。要厘清法律权限。

每一步单独来看都合理。加在一起，就构成了对有效行动的巨额税负。

我经历过这样的情况：协调开销消耗的精力比实际执行工作还多。花三个星期谈判哪个机构牵头。两个星期争论数据共享规则。再一个星期解决管辖权纷争。等到所有人签字同意了一个方案，行动窗口已经关闭了。

当协调税高到一定程度，理性的人会做出理性的选择：不再协调。退回自己的竖井，盯着自己的数字，装作那些跨领域的问题不存在。不是因为他们懒或无能，而是因为系统让合作比各干各的更贵。

碎片化就是这样自我强化的。协调越难，尝试的人越少。尝试的人越少，裂缝越宽。裂缝越宽，漏掉的威胁越多。漏掉的越多，各机构越是加倍投入自己的狭窄任务——因为至少那些是它们在自己围墙内能解决的问题。

这就引出了第三个问题——也是最危险的一个：我称之为"缝隙猎手效应"。

老练的对手——恐怖网络、有组织犯罪集团、系统性腐败——不会去攻击我们防御最强的点。他们没那么蠢。他们打最弱的点。而在一个碎片化的系统中，最弱的点永远是机构之间的接缝。

从对手的角度想。如果你计划的事情横跨联邦和州的管辖权，你知道两个系统之间的交接处就是混乱所在。如果你的行动涉及三个不同联邦机构的地盘，你知道协调税会拖慢一切响应。如果你的活动不能整齐地归入任何人的"核心任务"，你知道它会掉进优先级黑洞。

利用碎片化不需要内部情报。你只需要足够复杂，让任何单一机构都无法独自应对。系统的脆弱性是结构性的，任何肯花心思看一看的人都看得到。

这就是为什么美国历史上最具破坏性的安全失败几乎都涉及碎片化。情报是有的。拼图的碎片都在。但它们散落在不同的机构、不同的数据库、不同的密级体系、不同的机构文化中。没有人掌握全貌，因为没有人被设计成掌握全貌的。

我们对那些失败的回应是成立新机构——国土安全部、国家情报总监——理论上是来解决协调问题的。实际上，它们在已经碎片化的系统上又叠加了新的层级。现在我们既有原来的机构，又有协调机构，而"协调那个协调者"本身成了又一个官僚挑战。

我不是建议把八十个机构合并成一个超级部门。那会带来自己的灾难——权力集中、专业性丧失、官僚臃肿。碎片化的答案不是整合。是架构。

我们需要的是一个保留专业化的同时消灭优先级黑洞的系统。这需要三个根本性的转变。

第一：共享威胁所有权。当一个威胁跨越管辖界限时，应该有一个清晰的、预先建立的协议来分配所有权——不是经过几周谈判，而是根据威胁的性质自动分配。网络威胁？有牵头方。跨国威胁？有牵头方。国内威胁？有牵头方。“牵头"不是"协调"的意思。它意味着拥有结果的机构，拥有权限和资源去要求其他机构配合。

第二：统一指标。现在每个机构按自己的记分卡打分，这激励的是竖井行为。我们需要衡量系统层面成果的跨领域指标——发现的威胁数、消除的威胁数、跨管辖事件的响应时间。当一个机构的预算部分取决于它与其他机构的协作表现时，协调税就会大幅下降。激励机制塑造行为。改变激励，改变行为。

第三：裂缝审计。不管是谁——我不在乎——需要有人被永久指派去找裂缝。不是等什么东西掉下去之后再找。而是之前。一个专门的职能部门，全部工作就是绘制机构之间的接缝图，并测试威胁能否利用它们。给组织架构做红队测试。给官僚结构做兵棋推演。如果我们能对桥梁和建筑做压力测试，我们就能对那些本该保护我们安全的机构之间的裂缝做压力测试。

我理解我们是怎么走到这一步的。每个新机构成立时都有充分的理由。每条管辖边界的划定都有逻辑。每个专业化分工都有意义。碎片化不是恶意的——它是渐进的。一个机构接一个机构，一个任务接一个任务，一笔预算接一笔预算，直到我们醒来发现有八十个独立的实体在试图保卫一个被对手视为单一目标的国家。

但理解我们怎么走到这里，不等于有理由留在这里。免疫系统的力量从来不在于单个细胞，而在于它们之间的协调。一万亿个无法相互沟通的白血球，不过是一万亿个漂浮在同一个身体里的独立生物体，各打各的仗，而感染在它们之间自由蔓延。

这就是我们现在的处境。在我们修好架构之前——不是人，不是预算，不是使命宣言，而是架构——威胁会继续掉进裂缝。不是因为我们缺少阻止它们的能力，而是因为我们把这些能力组织成了一种注定在接缝处失败的方式。

这场仗不是关于更努力地工作。是关于一起工作。而现在，系统的设计就是让这件事尽可能地难。