ПЛАНИРОВАНИЕ ИНФОРМАЦИОННЫХ ОПЕРАЦИЙ
Информационные операции имеют несколько этапов (набор обязательных действий), отсутствие или изменение которых может привести к снижению эффективности всего мероприятия. Поэтому с разной степенью детализации каждый этап присутствует в любой серьезной информационной операции. Далее разберем каждый из этих шагов.
Общая организация работ
Для начала несколько слов о важности скорости в информационных операциях. Средний «жизненный цикл» ударного контента в интернете колеблется от 6 часов до пяти суток. Это то время, которое проходит от момента его публикации до падения интереса аудитории к контенту. Из этого времени наиболее эффективный период для нейтрализации воздействия контента на аудиторию составляет первые 1–3 часа. Это время уходит у злоумышленника на первичное распространение ударного контента, которое обычно осуществляется за счет суррогатов. Поэтому воздействие на аудиторию минимальное.
Именно этот период (1–3 первых часа) и нужно использовать для эффективного противодействия информационной операции противника. И исходя из этого строится и тактика реагирования на информационную операцию:
Вам необходимо как можно быстрее обнаружить потенциально-опасную публикацию;
Вам нужно в течении максимум трёх часов определится с потенциальной опасностью контента, выработать сценарий противодействия, согласовать его с руководством и начать реализацию этого сценария.
Для быстрого обнаружения ударного контента противника нужно:
— Мониторинг сообщений об Объекте должен идти 24/7;
— Возможность быстрой адаптации мониторинговой системы под изменение интернета (новые источники, новые технологии доставки ударного контента…).
Для оценки, принятия решения и начала противодействия в течении этого-же периода (1–3 часа) необходимо:
— Доступность лица, согласовывающего активные мероприятия 24/7;
— Заранее проработанные наиболее вероятные сценарии противодействия под разные, наиболее вероятные, тактики противника;
— Заранее подготовленный контент под наиболее вероятные варианты информационных операций;
— Заранее подготовленная инфраструктура распространения вашего контента.
Все это требует определенных ресурсов, соответствующей выстроенной инфраструктуры и отлаженной систем управления и взаимодействия. С другой стороны, при планировании своих информационных операций, необходимо учитывать способность противника быстро и эффективно противодействовать нашим информационным операциям — то, как у него выстроена система выявления, противодействия и какова скорость реакции. По сути это оценка того времени, которое будет у вас для реализации своих задумок до момента, когда противник начнет вам активно мешать.
Функции и структура подразделения ИО
Для понимания какие сотрудники нужны и в каком количестве, нужно оценить объем и сложность работ. Так вот подразделение информационных операций в рамках своих компетенций должно решать следующие задачи:
1. Проведение оборонительных информационных операций:
1.1. Выявление информационных операций противника;
1.2. Оценка опасности информационных операций противника;
1.3. Выработка сценария противодействия информационным операциям противника;
1.4. Реализация сценария противодействия;
2. Проведение наступательных информационных операций:
2.1. Определение цели, задач и возможных ограничений планируемой информационной операции;
2.2. Определение целевой аудитории и ее уязвимостей;
2.3. Выработка сценария воздействия;
2.4. Создание инфраструктуры под операцию;
2.5. Реализация сценария воздействия
3. Проведение информационных операций поддержки:
3.1. Определение стратегии поддержки и ее особенностей;
3.2. Определение целевой аудитории и ее особенностей;
3.3. Разработка сценария воздействия;
3.4. Реализация сценария воздействия;
4. Проведение информационных операций стратегического обеспечения:
4.1. Отслеживание потенциальных угроз;
4.2. Подготовка для возможных информационных операций;
4.3. Превентивные мероприятия по предупреждению возможных информационных операций противника.
Для решения этих задач подразделение информационные операции должно иметь следующие функциональные службы:
1. Служба мониторинга — сбор информации по всем направлениям
1.1. Аналитики сбора (лингвисты)
1.2. Операторы сбора
2. Аналитическая служба
2.1. Аналитики
2.2. Сценаристы
2.3. Переводчики
3. Служба контента
3.1. Отдел текстового контента
3.2. Отдел визуального контента
3.3. Отдел видео-контента
4. Служба распространения
4.1. Операторы распространения
5. Служба поддержки
5.1. Аналитики интернет-технологий
5.2. Лингвисты
Проведение информационных операций рано или поздно привлечет внимание противника, и он попробует проникнуть внутрь такой структуры технически или через агентуру. Поэтому помимо традиционных управленческих систем также нужна и система обеспечения безопасности, в том числе и контрразведывательная.
Подготовка информационной операции
Планирование информационных операций заключается определении цели информационной операции, описании действий по достижению этой цели и необходимых для этого ресурсов.
В ходе планирования необходимо решить следующие задачи:
— Целеуказание — формулируем цель информационной операции и задачи в рамках достижения этой цели;
— Определение ЦА, с чьей помощью будет достигнута цель операции, на которую будет воздействие;
— Выявление уязвимостей аудитории — изучить эту ЦА, определить ее восприимчивость, ее уязвимости;
— Определение общей стратегии и сценария воздействия на аудиторию;
— Формирование плана распространения ударного контента;
— Определение показателей эффективности воздействия на аудиторию.
Далее каждый пункт описан детально в разделе «Планирование информационных операций».
Что нужно учитывать
В ходе планирования информационной операции и необходимых ресурсов учитываются множество факторов, каждый из которых мы разберем. А для понимания масштабности работ вот перечень наиболее значимых из них:
1. Сопротивление противника в инфо-пси сфере:
1.1. Активность силовиков в интернете (цензура, свои ИО, расследования…);
1.2. Усилия «активистов» в интернете (выискивают, жалуются, атакуют…);
1.3. Наличие у противника специализированных сил выявления операций противника и скорость их работы;
2. Особенности целевой аудитории:
2.1. Степень приятия продвигаемой идеи в ЦА (согласие, нейтрально, неприятие);
2.2. Степень тревожности ЦА;
2.3. Особенности восприятия ЦА (язык, ЛОМы, склонности…);
2.4. Доступность ЦА в интернете;
3. Кто планирует информационную операцию (исполнитель или заказчик):
3.1. Адекватное целеуказание;
3.2. Подбор ЦА;
3.3. Сценарий воздействия на ЦА;
3.4. Темник ударного контента;
3.5. План информационной операции;
4. Степень маскировки информационной операции:
4.1. Легендирование (свои аккаунты, чужие, свежеугнанные…);
4.2. Маскировка управления процессом (прямое, прокси, транс-граничное…);
4.3. Метод маскировки воздействия на ЦА;
5. Технологии доставки ударного контента до ЦА;
6. Сам ударный контент:
6.1. Кто создает (заказчик или исполнитель);
6.2. Объемы ударного контента;
6.3. Опасность ударного контента для государства ЦА.
7. Интенсивность ИО:
7.1. Планируемый охват ЦА;
7.2. Сколько раз продемонстрировать ударный контент;
7.3. Как долго показывать ударный контент;
8. Вариативность ИО:
8.1. Число внутренних сценариев воздействия в рамках одной ИО;
Сопротивление противника в инфо-пси сфере
Это набор факторов, связанный с действиями, которые предпринимает противник в области инф-пси для недопущения воздействия на свою аудиторию. Ведь совершенно разные усилия и ресурсы нужны для воздействия на аудиторию если никто не контролирует контент в инфополе, действия пользователей, их общения, никто не говорит им об опасностях, не пугает страшными новостями…. И иные усилия потребуются для воздействия на аудиторию, которую жестко контролируют в плане того, какой контент аудитория получает, что и кому говорит, какие темы обсуждают, и об этом контроле аудитория знает и подвергается регулярному «воспитательному» воздействию в плане разъяснений что можно, а что нельзя. Тут уже придется предпринимать значительные усилия для преодоления систем противодействия противника, тревожности аудитории и отторжения ею определенных нарративов.
Обычно в данной области следует учитывать:
— Наличие цензуры в интересующем сегменте интернета и ее механизмы;
— Законодательство в данной области и активность его применения;
— Воспитательно-образовательные усилия государства по интересующей аудитории;
— Проводимые противником информационные операции по интересующей аудитории;
— Наличие и активность неформальных и негосударственных структур и объединений, ратующих за чистоту контента в интернете;
— Наличие активистов и волонтеров, предпринимающих усилия по очистке интернета от опасного контента;
Особенности целевой аудитории
Не менее важным фактором являются и особенности аудитории, выбранной в качестве мишени для воздействия. Такими особенностями являются:
1. Присутствие аудитории в интернете и на планируемой для воздействия площадке;
2. Степень приятия аудиторией используемого для воздействия нарратива (идеи) (согласие, нейтрально, неприятие);
3. Уровень общей тревожности аудитории;
4. Особенности потребления информации аудитории:
4.1. язык аудитории, сленг, предпочтения по подаче информации (аналитика, публицистика, юмор, инфографика…);
4.2. предпочтения по типу информации (текст, звук, картинка, видео…);
4.3. визуальные предпочтения (приятные-неприятные образы, цвета, сюжеты);
4.4. предпочтения по источникам и авторам, на чье мнение ориентируются…
На основе данной информации формируется рекомендация по созданию ударного контента для данной аудитории.
Необходимость и степень маскировки информационной операции также оказывают серьезно воздействие на необходимые ресурсы. Согласитесь, одна ситуация, когда не нужно тратить силы и средства не сокрытие процесса воздействия на аудиторию и совсем другая ситуация, когда необходимо скрывать всё:
— Необходимость маскировки всей информационной операции или ее отдельных элементов;
— Необходимость легендирования своих аккаунтов, найма и использования чужих;
— Маскировка процесса управления операцией, что подразумевает использование прокси серверов, шифрования, «ретрансляторов» команд и т. п.;
— Маскировки собственно воздействия на аудиторию, придания этому процессу вида общения, утечек, мнения авторитетных людей и т. п.;
Также нужно учитывать особенности самой информационной операции:
— Прямое воздействие (без маскировки);
— Воздействие от чужого имени;
— Неявное воздействие.
Технологии доставки ударного контента до ЦА
То, каким способом планируется доставлять ударный контент до целевой аудитории, также сильно влияет на необходимые для реализации ресурсы. Есть существенная разница между разовой публикацией в одном паблике соцсети и посевом от сотен разных аккаунтов в нескольких соцсетях. И эта разница может оказывать значительное влияние на эффективность всей информационной операции.
Сам ударный контент
То, какой ударный контент используется в рамках информационной операции также влияет на необходимые ресурсы в случае, если ударный контент создается вами. Для придумывания текста в одно предложение нужен один объем ресурсов, тогда как для создания сложного часового видео-ролика нужен совсем другой объем ресурсов.
Мало того, токсичность ударного контента прямо влияет на два показателя:
— То, как ЦА будет его воспринимать и сколько понадобится ресурсов для убеждения;
— То, как государство будет реагировать на распространение такого контента.
Интенсивность информационной операции
Не менее важна для расчета ресурсов и интенсивность информационной операции, то есть ее продолжительность, сколько раз ударный контент должен быть продемонстрирован аудитории и размер этой аудитории.
В зависимости от токсичности среды проведения планируемой информационной операции и ее сценария можно обойтись одним аккаунтом, а может понадобиться несколько тысяч. Во втором случае добавляются проблемы управления и координации действий задействованных аккаунтов.
Вариативность самой информационной операции
Вариативность информационной операции — это то, какое число разных сценариев воздействия на аудиторию используется в рамках данной информационной операции. От этого зависит и число необходимых аккаунтов, и число единиц уникального ударного контента.
Но начинается всё с разведки, которая в рамках информационных операций осуществляется с помощью мониторинга открытых источников интернета.
Кто и на каком этапе информационной операции участвует
При планировании и расчёте ресурсов важно еще понимать кто осуществляет каждый этап информационной операции от целеуказания до реализации (исполнитель, заказчик, внешний подрядчик). Точнее кто тратить свои ресурсы на осуществление каждого действия:
1. Общее планирование
1.1. Адекватное целеуказание — точная и понятная постановка задачи;
1.2. Подбор целевой аудитории, ее изучение и выявление уязвимостей;
1.3. Формирование сценария воздействия на аудиторию;
2. Подготовка инфраструктуры воздействия;
2.1. Темник для ударного контента;
2.2. Создание самого ударного контента;
2.3. Подготовка инфраструктуры распространения;
3. Реализация воздействия
3.1. Распространение
3.2. Контроль эффективности
И какие инструменты, какие ресурсы и в каком количестве нужны исполнителям для осуществления каждого действия.
Мониторинг
При проведении информационных операций важнейшим направлением становится наблюдение за меди-активностью как противника, так и своей. По сути, мониторинг становится разведкой в интересах того, кто осуществляет информационную операцию. Поэтому на том, как осуществлять эффективный мониторинг инфополя остановимся отдельно.
Мониторинг необходим для решения целого спектра задач:
— Выявление угроз как текущих, так и потенциальных;
— Определение целевой аудитории для воздействия;
— Выявления особенностей и уязвимостей целевой аудитории;
— Отслеживание реакции аудитории на распространяемый ударный контент;
— Отслеживание противодействия противника вашей операции.
Подробнее о организации мониторинга написано в разделе «ПРАКТИКУМ» — «Мониторинг». В данном разделе приведен необходимый минимум по вопросу.
Проблемы мониторинговых систем
К сожалению, у сбора информации (мониторинга) есть ряд особенностей, которые прямо влияют на эффективность сбора информации, и на применимость мониторинга для решения тех или иных задач.
Ловушка размерности — Все существующие на рынке мониторинговые системы традиционно попадают в ловушку размерности. Это связано с несколькими факторами. Дело в том, что уже сейчас объемы нового контента огромны и с каждым днем этот объем только увеличивается. А мониторинговая система должна всё это собирать. Мало того, собирать быстро — чтобы заказчик, в идеале, видел нужный ему контент в момент его публикации. Для решения этой задачи нужно очень большая и разветвленная инфраструктура, которая стоит очень дорого и требует много денег и сил для поддержания ее в рабочем состоянии.
И вот тут начинается борьба между трусостью и жадностью, в том смысле, что собрать всё мониторинговая система не может себе позволить. И ей приходится выбирать что собирать, а что нет. Выбор по понятным причинам падает на ресурсы, которые обычно называют более авторитетными или более влиятельными. В самом простом понимании это ресурсы с наибольшим охватом. И это без учета, что до некоторых данных мониторинговая система дотянуться не может. Не по тому, что пароль для доступа или в TOR-е, а по тому, что, например, контент только появился на недавно зарегистрированном ресурсе и на него не ведет ни одна ссылка.
В результате мониторинговая система «видит» не всё, что появляется в плане контента в открытом доступе, а только часть и не всегда в «увиденном» находится то, что нужно для решения вашей задачи.
Не менее интересным является и то, как мониторинговая система препарирует собранные данные. В смысле что считает и как показывает пользователю. Обычно это статистический анализ: чего, когда, в каком количестве, где и в каком виде публиковалось. Этого не то чтобы мало для определения есть атака или нет, а вообще никак не помогает для ответа на данный вопрос. Ведь что такое атака на репутацию в интернете? Это искусственное распространение нежелательного контента. Именно искусственное. По тому, что естественное распространение — это обычно недовольство клиентов. В общем все эти красивые графики не позволяют сказать есть атака или нет. И тем более не позволяют разобраться в особенностях атаки. Понять задействованные силы, оценить масштабы и примерные затраты на организацию атаки, определить используемые приёмы и как развивалась атака.
Активное противодействие — На эффективность организации мониторинга влияет активное противодействие противника в формате маскировки, дезинформирования и «борьбы с русскими троллями», в рамках которой им (противником) проводится работа:
— По выявлению возможных мероприятий влияния со стороны России;
— По выявлению инфраструктуры влияния;
— По блокированию источников (в т. ч. аккаунтов), задействованных в распространении «Российской пропаганды».
Это подразумевает необходимость предпринять усилия по сокрытию следов работы системы и вытекает в дополнительные условия по ее анонимности.
Масштабы планируемой ИО
Неопределенность в масштабах будущих информационных операций выражается в следующем:
— Заранее неизвестно в каких локациях понадобится работать в будущем;
— Заранее неизвестно с какими языками придётся работать;
— Заранее не известно с какими социальными сервисами (в т. ч. соцсетями) придётся работать;
— Заранее неизвестно с какими объемами ударного контента понадобится работать в будущем.
Это подразумевает соответствующие требования к инфраструктуре, к аппаратным мощностям создаваемой системы и к возможностям её адаптации.
Технологические ограничения
Есть ряд специфических ограничений, связанных с особенностями осуществляемых действий и среды функционирования — технологические ограничения:
— Число поддерживаемых системой аккаунтов для разных сервисов (суррогатов);
— Число площадок (сервисов), доступных системе для активной работы;
— Число одновременно ведущихся операций по поиску и по сбору информации и их интенсивность;
— Число пользователей, одновременно работающих с системой;
— Число стран (территорий), где планируется ведение информационных операций и соответственно поддерживаемых языков.
Мало того, создание и поддержка пула аккаунтов для поиска и сбора информации требует предварительной проработки следующих вопросов:
— В каких сервисах планируются работы;
— Сколько активностей в сутки планируется;
— На сколько «токсичный» контент;
— Какие схемы анонимизации и имитации человекоподобия планируются;
— Какие технологии продвижения (разгона) использовать;
— Кто и как будет поставлять аккаунты для активных мероприятий.
От этого зависит сколько аккаунтов, в каких соцсетях и какого качества нужно иметь в оперативной доступности, сколько в резерве и сколько новых нужно будет периодически добавлять в систему для поддержания требуемого уровня работоспособности.
В каких соцсетях планируется работать — каждая соцсеть (сервис социального взаимодействия) имеет ряд своих особенностей, которые могут значительно отличаться и это тоже необходимо учитывать:
— Набор доступных пользователю функций в каждой конкретной соцсети;
— Связанность соцсети с госструктурами и подконтрольность им;
— Уровень русофобии администрации ресурса и страны;
— Терпимость основной массы пользователей к контенту не соответствующему их взглядам.
От этого зависит какие затраты необходимы направить на решение задач:
— Анонимизации и поддержки человекоподобия аккаунтов;
— Маскировка воздействия и адаптация контента под особенности аудитории и среды распространения;
— Доступ к разным механизмам распространения ударного контента в каждом конкретном социальном сервисе.
Сколько активностей в сутки планируется — имеется ввиду сколько обращений к сервисам по поиску и по скачиванию в сутки нужно инициировать. Например, несколько обращений от одного аккаунта уже достаточный повод для блокировки такого аккаунта администрацией сервиса.
На сколько «токсичный» контент планируется к поиску и сбору — на сколько контент опасен с точки зрения «власти» той страны, где планируется поиск и сбор. Если контент опасен, то аккаунты, которые его ищут и скачивают быстро попадут в поле зрение госорганов и будут удаляться администрацией соответствующих сервисов, или будет организована оперативная игра, например по дезинформированию. А значит необходимо контролировать «незасвеченность» используемых аккаунтов и нужна будет регулярная замена этих аккаунтов на новые, а это дополнительные затраты на их закупку и адаптацию.
На сколько хорошо должен быть легендирован сам аккаунт и совершаемые им действия. Данный параметр зависит от закрытости сервиса, где планируется поиск и сбор. Так для попадания в закрытую часть форумов обычно необходимо активное и полезное общение на форуме или рекомендация от уже проверенного участника форума.
Отдельно вопрос в том, кто и как будет получать аккаунты для поиска и скачивания с соцсервисов. С учетом того, что и нужно много и периодически аккаунты будут банить по подозрению и без оного. Поэтому нужно постоянно пополнить их парк.
Варианты получения аккаунтов:
— Самостоятельное создание и развитие аккаунтов;
— Покупка аккаунтов на торговых площадках в ДаркНет;
— Аренда чужих аккаунтов напрямую или через биржи.
— Самостоятельная регистрация, наполнение и развитие требует много ручной низкоквалифицированной работы, а значит и затрат времени, затрат на сим-карты и их поддержку и девайсы для подтверждения аккаунтов и фонд оплаты труда.
Покупка аккаунтов на торговых площадках в ДаркНет предполагает решение вопросов с ОРД так-как речь идёт о взломанных аккаунтах.
Аренда аккаунтов на биржах сопряжена с риском утечки информации так-как администрация таких бирж особого внимания безопасности данных клиентов не уделяет. Кроме того, большинство таких бирж в рунете имеет украинские корни. Другое дело если создать свою подконтрольную биржу и развить ее, тогда кроме доверенного сервиса по найму аккаунтов еще появляется источник информации о планируемых манипулятивных проектах.
Нет устойчивого контентного признака информационных операций — вброс (первичная публикация ударного контента) это не обязательно ложная информация — фейк. Для вбросов используют и достоверную информацию как ударный контент, и реальную информацию с вкраплением дополнительных данных, и полностью искусственно сгенерированную информацию. Поэтому наличие лжи или иного манипулирования нельзя использовать как достаточный признак вброса. Как и наличие в контенте признаков манипулирования аудиторией вовсе не является достаточным признаком для утверждения, что контент используется противником для соответствующего воздействия на аудиторию.
Невозможность контролировать работу рекомендательных алгоритмов — для принудительного распространения ударного контента в масштабных информационных операциях используются рекомендательные алгоритмы крупных социальных сервисов. Такое решение принимается на уровне менеджмента данных площадок. А отслеживать такую активность без доступа к серверам соцсети очень затратно. Даже если вы создадите аккаунты в целевой соцсети со всеми возможными характеристиками защищаемых ЦА (метод ловушек), всё равно есть вероятность пропустить какой-то ударный контент например по причине особых требований к ЦА у противника или появление интереса противника к новой (неожиданной) ЦА в силу выработки новой стратегии воздействия.
Необходимо быстро выявлять новые аккаунты — для вброса ударного контента нередко используется только-что созданный аккаунт, который мониторинговые системы на начальном этапе «не видит». Поэтому если идти по пути мониторинговых систем начало вброса будет пропущено (не вовремя выявлено). Скорее всего будет выявлено искусственное продвижение ударного контента. И то при условии, что задействованные в продвижении аккаунты отслеживаются мониторинговой системой. Исходя из этого важным становиться быстрое выявление новых аккаунтов в отслеживаемой соцсети.
Этому мешают:
— Закрытость экосистемы соцсетей;
— Борьба с «русскими троллями» в ряде популярных соцсетей;
— Огромные масштабы «пространства» интернета, которое нужно держать под наблюдением;
— Неопределенность будущих угроз.
Закрытость экосистемы соцсетей — специально предпринимаемые самой соцсетью усилия по ограничению индексирования поисковиками, отсутствие эффективного внутреннего поиска, сложность получения и использования API, а в ряде случаев жесткие ограничения в использовании API за исключением пары Российских соцсетей.
Борьба с «русскими троллями» выражается в дополнительных ограничениях, накладываемых на пользователей из России или продвигающих про-Российский контент, отказе в регистрации и использовании API и блокировании таких аккаунтов по малейшим подозрениям или незначительным «жалобам».
Зачем нужен мониторинг
Для эффективного мониторинга нужно очень четко представлять для чего он вам нужен. И вот тут нередко возникает определенное недопонимание. Наиболее частый ответ «чтобы отслеживать упоминания объекта». Это далеко не всё, что нужно для эффективного нейтрализации инфо-операций противника, и тем более для эффективной реализации своих. Мониторинг инфополя вам нужен для того, чтобы вовремя, а лучше заранее, обнаружить потенциальные угрозы защищаемому Объекту и вовремя обнаружить возможности для защищаемого Объекта.
Цель мониторинга: собирать информацию, необходимую для своевременного выявления возникающих угроз, открывающихся возможностей и для их исследования. В нашем случае в разрезе информационных операций противника.
Задачи мониторинга:
1. По угрозам
1.1. Собрать информацию, позволяющую своевременно выявлять:
1.1.1. Угрозы Объекту защиты
1.1.2. Изменения у целевой аудитории
1.1.3. Изменения у противника
1.1.4. Чужие информационные операции
1.2. Собрать информацию, позволяющую выявлять информационные операции по Объекту
1.2.1. Подготовку к инфо-операциям
1.2.2. Начало инфо-операций
1.3. Собрать информацию для изучения ИО
1.3.1. Отслеживания информационных операций противника
1.3.2. Выявления ресурсов противника
1.3.3. Понимания тактики и стратегии противника
1.3.4. Определения новых технологий, приёмов, механизмов воздействия
1.4. Собрать информацию для понимания тенденций в инфопси
1.4.1. Исследования
1.4.2. Новые технологии и приемы
1.4.3. Новые коалиции и группы влияния
1.5. Собрать информацию для выработки стратегии, тактики своих информационных операций
1.5.1. Защищаемые ЦА, их свойства и уязвимости
1.5.2. ЦА противника, их свойства и уязвимости
1.5.3. Свои ресурс, технологии и возможности
1.5.4. Ресурсы противника, его технологии и возможности
2. По возможностям
2.1. Собрать информацию, позволяющую своевременно выявлять
2.1.1. Гео-политические возможности
2.1.2. Научно-технологические возможности
2.1.3. Рыночные возможности
2.1.4. Военные возможности
Выявление угроз
Под угрозами Объекту защиты обычно понимают следующие:
1. Угрозы нормальному функционированию Объекта
1.1. Угроза управлению
1.2. Угроза репутации
1.3. Угроза ресурсам
2. Угрозы существованию Объекта
2.1. Угроза целостности Объекта
2.2. Угрозы автономности Объекта
2.3. Угроза независимости Объекта (суверенитету)
В зависимости от особенностей Объекта эти угрозы могут меняться по своему составу. Так «Угроза управлению» для государства это практически вся его система управления от системы выборов до системы принятия решений и передачи управляющих сигналов по бюрократической лестнице. А вот для частного лица этот блок сужается до структуры воспринимаемой ею информации и особенностей влияния на данное лицо другими.
Выявление возможностей
Под возможностями необходимо понимать всё то, что позволяет вам эффективнее или быстрее достигать своих целей. В некоторых случаях это в принципе новые возможности в том числе и в новых направлениях. Это могут быть изменения в структуре управления противника или появление новой уязвимости у защищаемой им аудитории или новая технология доставки ударного контента, еще не известная вашему противнику.
Возможностью для Объекта может являться то, что является угрозой для противника или некая особенность целевой аудитории. Это значит, что могут быть сообщения и без прямого упоминания вашего Объекта.
Противник тоже наблюдает
Ваши действия, если они будут достаточно эффективны, то обязательно спутают планы оппонента и он захочет реванша. В больших проектах в подобные атаки могут быть вложены значительные суммы и противнику будет очень жаль, что он их потратил просто так. Противник обязательно попробует восстановить контроль над ситуацией или банально отомстить. Такие действия могут проявляться по разному. Например:
Взлом сайтов (нужны копии информации и зеркала сайтов);
ДДОС атака (нужны зеркала и обузоустойчивые хостинги);
Физическое воздействие (нужна анонимность действий).
Или еще как-то, ведь изобретательность человеческая безгранична.
Чем мониторим
Организовать мониторинг можно вручную, если вы (или защищаемый объект) не слишком медийный, т. е. число новых его упоминаний в сутки не превышает сотни. Но уже в этом случае нужно будет тратить некоторое время на сбор и прочтение материалов. Сам же сбор можно организовать с помощью поисковых систем (Яндекс, Google). Один раз сформировав качественный запрос, чтобы свести информационный мусор в выдаче к минимуму, этот запрос сохраняете в виде закладки и при необходимости активируете.
Вручную — Самый простой способ мониторинга — вручную. Просматривая новости или ища нужную информацию в поисковых системах.
О том как правильно использовать поисковые системы, в том числе как правильно составлять сложные поисковые запрос, подробно рассказано в разделе «ПРИЛОЖЕНИЯ» — «Сбор информации» — «Ручной поиск информации».
Дзен. Новости (бывший сервис Яндекс. Новости)
Для наблюдения за ситуацией и ее изменениями можно использовать новостные сервисы, которые специализируются на агрегировании новостей. Например, такие как Дзен. Новости (бывший сервис Яндекс. Новости).
Сервис позволяет вести поиск нужной информации по 6887 СМИ (на 2023 год) и новостным агрегаторам, данные из которых очень быстро становятся доступны в поиске.
Самый простой способ — внести в поисковую строку запрос и получить ответ, который можно просмотреть, перейти на первоисточники и прочитать информацию в них.
Кроме того, можно сохранить ссылку на результаты поиска по интересующей теме в виде закладки. И таким образом сформировать небольшую библиотеку готовых запросов. В дальнейшем достаточно одного клика чтобы открыть актуальные новости по проблеме.
Полуавтомат — Современные решения позволяют пользователю частично автоматизировать процесс мониторинга без необходимости разбираться в программном коде или в сложных настройках систем.
RSS-ридеры
RSS-ридер — это интернет-сервис, десктопная программа, мобильное приложение или расширение браузера, где RSS-ленты из разных источников собираются, обрабатываются и в едином формате представляются читателю.
Примеры RSS-ридеров (их гораздо больше):
— Feedly
— NewsBlur
— Inoreader
— The Old Reader
— rssLounge
— Selfoss
— Feed on feeds
— Managing news
— Lilina
— Tiny Tiny RSS
— ZebraFeeds
— Rnews
— NewsBlur
Бывает, что интересующий вас источник не имеет RSS-потока. В этом случае можно воспользоваться сервисами генерации RSS лент из интересующих источников:
— RSS.app,
— FetchRSS,
— mySitemapGenerator,
— PolitePol.
Таким образом можно организовать свою систему наблюдения определенных тем, событий или новостей в популярных поисковиках или настроить сбор появления всех записей от необходимых СМИ.
GoogleAlert
Полностью бесплатный и простой в использовании сервис. Что можно сделать с помощью Google Alerts по умолчанию:
Проводить простой мониторинг ключевых слов в блогах, на форумах, новостных сайтах и на YouTube (так как он принадлежит Google).
Настроить частоту отслеживания упоминаний — раз в неделю, раз в день или в режиме реального времени.
Просматривать уведомления внутри сервиса или настроить их отправку на почту.
Для работы в сервисе зарегистрируйтесь или авторизуйтесь в Google и перейдите по ссылке Перед вами откроется главная и, по сути, единственная страница сервиса с настройками:
Для того чтобы создать новое оповещение, введите запрос, который планируете отслеживать. Далее переходите к его настройкам.
Частота отправки. Эта настройка доступна только при выборе способа доставки по почте. Есть 3 варианта
— по мере появления результатов;
— не чаще, чем раз в день;
— не чаще, чем раз в неделю.
Первый вариант удобен для репутационных запросов, когда важна мгновенная реакция администрации. Для информационных запросов подойдет второй или третий вариант.
Источники. По умолчанию здесь стоит «Автовыбор». Но вы можете сузить круг отслеживания до новостей, блогов, видео и т. п.
Язык. Вы выбираете язык результатов поиска. Можно задать «Все языки» или только какой-то один.
Страна. Как и в случае с языками, вы выбираете все страны или интересующую вас.
Количество. Можно мониторить все результаты или только самые качественные.
Далее нажимаем «Сохранить». Новое оповещение появится в списке:
Есть дополнительные настройки (открываются по клику на значок шестеренки) можно:
— указать время отправки уведомлений
— задать отправку в виде сводки (одним письмом по всем оповещениям).
Каждое оповещение можно редактировать и удалять при необходимости.
Использование RSS читалки
После преобразования оповещения в ссылку на RSS-канал вы увидите значок RSS рядом с ним в разделе «Мои оповещения».
Кликните значок правой кнопкой мыши и выберите «Копировать адрес ссылки», чтобы скопировать URL-адрес RSS-канала в буфер обмена. Перейдите к любому RSS-ридеру, который вы используете, вставьте URL-адрес и добавьте оповещения Google в свой ридер.
Вы можете создать сколько угодно RSS-потоков по интересующим вас темам и читать их в вашем RSS-ридере.
Автоматизация с помощью Google Таблиц
Компания cloudHQ представила расширение для Chrome, позволяющее экспортировать письма в Google Таблицы, в том числе и оповещения Google Alerts (Export Emails to Google Sheets by cloudHQ).
Такой отчет будет автоматически обновляться при поступлении новых уведомлений. Кроме того, в нем содержится подробная информация по каждому оповещению:
— Дата и время упоминания ключевого слова
— Само ключевое слово Google Alerts (что означает, что их может быть несколько)
— Издатель контента
— Резюме содержания
— Ссылка на содержание
— Ссылка для публикации в соцсетях
— Ссылка для пометки оповещения как не релевантного
— Колонка для личных заметок
Создание отчета бесплатно. Таким образом, используя Google Alerts в связке с расширением cloudHQ можно получать данные об упоминании интересующего объекта или темы в удобной форме, и при этом сэкономить много времени и ресурсов.
Мониторинговые сервисы
Можно задействовать для мониторинга онлайн сервисы, которых немало. У такого способа есть свои преимущества. Первое — вам не нужно тратить время на сам процесс сбора — это всё сделают за вас. Второе — весь объем собранного всегда доступен вам из любого места, лишь бы был интернет.
Но есть и недостатки. Админы мониторинговой системы знают направление вашего интереса и у вас нет полной уверенности, что вам отдают весь контент по вашей тематике. Мало того, нужно всегда помнить о возможной связи мониторингового сервиса с вашим противником.
Подготовка на перспективу
Для решения задач предупреждения информационных операций противника необходим несколько иной подход. Нужно выявлять не начало информационных операций, а признаки подготовки к информационной операции или возможности для проведения информационной операции с точки зрения противника.
В частности, нужно отслеживать и заранее выявлять:
— Уязвимости своей аудитории или ее элементов и их изменения;
— Уязвимости аудитории противника и ее изменения;
— Проявления интереса противника или иного субъекта к нашей аудитории;
— Подготовку к проведению информационной операции против нашей аудитории;
— Подготовку к проведению новой информационной операции противником;
— Изменение на в регионах интереса, могущие привести к информационным операциям.
Анализ информационной среды (анализ медиа-пространства) — процесс сбора и обработки информации о совокупности информационных ресурсов, информационной инфраструктуры, системы общественных коммуникаций, их сильных и слабых сторонах (уязвимых) для организации и проведения информационных операций.
Анализ информационной среды является решающей задачей для поддержки национальных стратегических целей. Это способствует достижению целей информационного противоборства вообще и конкретных информационных операций в частности. Вовремя понять уязвимость аудитории, сформировать под эту уязвимость ударный контент и донести его до аудитории, получить и проанализировать обратный отклик — главная задача, которую решает система стратегического мониторинга.
В процессе своей повседневной деятельности орган, занимающийся информационными операциями, осуществляет непрерывный мониторинг информационного пространства установленных зон ответственности и сопредельных зон, обеспечивает постоянную ситуационную осведомленность по этим направлениям, которая включает в себя:
1. Выявление стратегических угроз и их изменений;
2. Изучение стратегических угроз:
2.1. Целевой аудитории (особенностей, восприимчивости, уязвимостей);
2.2. Противника (сил, средств, приемов работы);
2.3. Особенностей инфо-пространства (источники, канал распространения, ЛОМы, специфичность контента…);
2.4. Общей ситуации (участники, центры влияния, конфликты, тенденции);
3. Выявление изменений по направлениям стратегических угроз:
3.1. У целевой аудитории;
3.2. У противника;
3.3. Инфо-пространства;
4. Выявление инфоповодов по направлениям стратегических угроз;
5. Накопление примеров чужого ударного контента;
6. Планирование возможных сценариев воздействия по направлениям стратегических угроз.
Оценка вызовов и угроз в информационной сфере — это детальное изучение информационного пространства с целью выявления, идентификации информационных угроз, возможных источников и методов их реализации с использованием определенных критериев (признаков).
Угрозы в информационной сфере классифицируются по направлениям:
1. Внешние негативные информационные влияния на сознание целевой аудитории через СМИ и Интернет, осуществляемые в ущерб государству и имеющие целью:
1.1. Попытки изменять психическое и эмоциональное состояние человека, его психологические и физиологические свойства;
1.2. Разжигание межрелигиозной, межэтнической и межнациональной розни, ненависти по этническим, языковым, религиозным и другим признакам;
1.3. Распространение призывов к сепаратизму, свержению конституционного строя или нарушению территориальной целостности государства;
2. Информационное влияние на население, в том числе на личный состав военных формирований, мобилизационный резерв с целью ослабления их готовности к обороне государства и ухудшению имиджа военной службы;
3. Распространение субъектами информационной деятельности искаженной, недостоверной и предвзятой информации для дискредитации органов государственной власти, вооруженных сил, дестабилизации общественно-политической ситуации, что значительно усложняет принятие политических решений, наносит ущерб национальным интересам или создает негативный имидж страны.
К общим признакам информационных вызовов и угроз следует отнести:
— Исключительно негативный характер тональности сообщений, чрезмерную детализацию и эмоциональность сообщений о негативных событиях, произошедших в стране;
— Плановость в предоставлении новостей по негативным тематикам;
— Увеличение интенсивности информационных сообщений по конкретной тематике (направлению) за короткий срок;
— Манипуляция информацией, касающейся страны, ее органов власти и ее вооруженных сил и направленной на сознание общества, отдельных групп общества и личностей.
В ходе анализа информации нужно четко определиться на какие вопросы мы хотим получить ответы? Что мы хотим узнать в результате анализа? В общем виде это вполне очевидно:
— Что произошло или происходит?
— Какова опасность происходящего или какие возможности дает?
— Что делать чтобы было не так больно или как воспользоваться ситуацией?
Если же говорить предметно, то обычно нужно выявлять угрозы и их изменение, открывающиеся возможности и их изменение. Что касается угроз, то они могут сильно отличаться в зависимости от сферы ваших интересов. Но одна угроза важна для всех — это угроза репутации. И в рамах работы с этой угрозой мониторинг и анализ должны дать аналитику возможность автоматизировать следующие процесс:
— Выявление подготовки к атаке на репутацию;
— Выявление самой атаки на репутацию;
— Исследование инцидентов с репутацией.
Для общего понимания происходящего можно использовать трёх-шаговую схему анализа, в ходе которой вы последовательно отвечаете на три вопроса по поводу новой информации или потока информационных сообщений:
— Что произошло или происходит;
— Какова опасность происходящего или какие возможности дает;
— Что делать чтобы было не так больно или как воспользоваться ситуацией.
Что произошло или происходит — Для понимания что происходит нам как минимум нужно разобраться в том, на сколько искусственен изучаемый информационный процесс распространения информации. Применительно к распространению негативной информации это понимание того, что информация распространяется реальными пользователями и процесс носит естественный характер или информация распространяется искусственно, а за процессом стоит заказчик, оплачивающий весь этот театр. В зависимости от этого набор применимых инструментов будет разный.
Какова опасность происходящего или какие возможности дает — Не менее важно вовремя оценить потенциальную опасность происходящего или примерные возможности, которые нам дает судьба. По сути своей это прогнозирование, но в нашем случае — прогнозирования влияние на аудиторию распространяемого контента. Это оценка влиятельности контента, пластичности аудитории и скорости распространения ударных материалов.
Что делать чтобы было не так больно или как воспользоваться ситуацией — И третьей задачей является выработка вариантов дальнейших действий в связи с выявленными процессами. Для негативных процессов — как уменьшить негативное влияние на аудиторию. Для позитивных — как усилить позитивное влияние.
Выявление информационной операции
Первая проблема, которую надо решить — понять есть информационная операция или нет. Ведь это умышленное действие по распространению информации, это искусственный процесс, а например, обсуждение пользователями интересной новости с вашим упоминанием это не атака, это естественный процесс. А для снижения нежелательного влияния в ситуации искусственного разгона ударного контента можно и нужно использовать технологии не приемлемые в ситуации, когда идет естественное распространение контента.
Для информационных операций характерны некоторые особые свойства, по сочетанию которых атаку можно идентифицировать. Эти признаки относятся к трем направлениям:
— Особенности оформления источника, осуществившего вброс;
— Особенности контента вбрасываемой информации;
— Особенности распространения вброшенного контента.
И именно анализ по всем этим направлениям дают возможность точнее определять наличие вбросов.
Детальное описание признаков информационной операции:
1. Особый первоисточник вброса:
1.1. Источник, имитирующий известное СМИ, новостное агентство и т. п.;
1.2. Недавно созданный источник, например аккаунт в соцсети;
1.3. Аккаунт, обладающий признаками бота;
2. Отсутствие первоисточника:
2.1. В публикациях нет ссылок на первоисточник;
2.2. Ссылка на первоисточник битая (первоисточника нет или он удалён);
2.3. Ссылка на первоисточник ведёт совсем не туда;
3. Искусственное продвижение:
3.1. Продвижение (репосты, комментарии, лайки…) осуществляют боты, тролли, агрегаторы компромата или сливные бачки;
3.2. Высокая скорость дублирования распространяемого контента вплоть до нескольких публикаций в секунду;
4. Специфичный контент — ударный контент:
4.1. Крайне эмоциональный контент;
4.2. Контент содержит призывы;
4.3. Контент обладает признаками манипулирования;
4.4. Контент вводит в заблуждение.
Особый первоисточник вброса
Площадка для первичной публикации ударного контента обычно выбирается из числа тех, которые некритично относятся к содержимому публикуемого материала. В противном случае злоумышленник рискует не осуществить задуманное. Таковыми являются следующие типы площадок:
— «Сливной бачек» сайт, готовый за деньги опубликовать что угодно;
— Только-что созданная площадка;
— Площадка, имитирующая известную (обычно известные СМИ);
— Боты в соцсетях.
Крайне редко для первичной публикации ударного контента используются известные, авторитетные площадки вплоть до сайтов крупных международных организаций или аккаунтов руководителей транс-национальных корпораций. Это происходит в следующих случаях:
— Сайт или аккаунт взломали и осуществили вброс;
— Договорились с админом ресурса, который без ведома владельца опубликовал.
Отсутствие первоисточника
Автор не указывает ссылку на первоисточник или ссылка не открывает ничего (ошибка 404) или ссылка открывает что-то не по теме. В ряде случаев это связано с тем, что страница первичной публикации ударного контента намеренно удаляется злоумышленником после осуществления первичного распространения для сокрытия следов.
Искусственное продвижение
Для достижения нужного эффекта злоумышленник предпринимает усилия по искусственному распространению ударного контента. Это подразумевает использование специфических технологий по распространению ударного контента уже вброшенного в медиа-пространство.
Такие усилия могут выражаться в:
— Использование специфических площадок для продвижения;
— Использование специфических методов продвижения ударного контента;
— Скорости распространения ударного контента.
— Специфические площадки — это особые площадки обычно используемые в таких ситуациях:
— Агрегаторы компромата, сливные бачки;
— Боты — аккаунты в соцсетях, управляемые софтом;
— Группы связанных источников — группы площадок, управляемых одним админом или группой админов.
Специфические методы продвижения ударного контента:
1. Посев — многократное дублирование одного контента:
1.1. Публикациями на сайтах СМИ, информ-агентств или на сайтах, имитирующих такие площадки;
1.2. Публикациями на страницах подконтрольных злоумышленнику аккаунтов в соцсетях;
1.3. Публикациями в лояльных группах в соцсетях (от одного или разных аккаунтов);
1.4. Комментариями, содержащими ударный контент под разными публикациями;
2. SMM:
2.1. Накрутка соц активности для продвигаемой публикации (лайки, репосты, комменты…);
2.2. Организация вовлекающего обсуждения для продвигаемой публикации, в результате чего в распространение вовлекаются реальные пользователи;
2.3. Популярные теги для продвигаемой публикации (работает технология для Твиттера, Инст…);
2.4. Использование рекламных механизмов для распространения ударного контента — платное распространение через официальный рекламный кабинет или через биржи рекламы.
Но в конечном счете продвижение сводится к многократному дублированию ударного контента. Именно по этой причине дублирование является одним из основных признаков продвижения контента.
Скорость распространения ударного контента подразумевает частоту его дублирования. В ряде случаев наблюдается такое дублирование с шагом в 1 секунду. Иными словами, каждую секунду появляется дубликат ударного контента на новой площадке (сайт, аккаунт, группа в сосцети и т. п..), а то и несколько.
Специфичность ударного контента подразумевает особенность самого материала, адаптированного именно для манипулирования аудиторией. При этом сам контент может быть как достоверным, так и не достоверным или частично достоверный.
Наиболее используемыми особенностями контента может быть:
— Ложь — материал является обманом частично или полностью;
— Правда в сочетании с особой подачей материала;
— Нарушение логики рассуждения или ее подмена идеологией;
— Отсылка к эмоциям;
Манипулирование может осуществляться с использованием любых типов контента:
— Текста;
— Изображения;
— Видео;
— Офисные документы (имитация утечки);
— Их сочетанием.
Как определить направление атаки
Вектор атаки в информационной операции это с помощью какой темы (нарратива) оппонент планирует достичь своей цели. В рамках контента нужно говорить о «темах», которые эксплуатирует оппонент, о темах, с помощью которых оппонент попробует спровоцировать действия или бездействия целевой аудитории.
В информационном потоке определение ударной темы дело непростое, особенно, когда интенсивность воздействия десятки тысяч сообщений в сутки. А именно такие «нагрузки» присутствуют в наиболее популярных темах. Поэтому ни о каком ручном анализе здесь речи быть не может — необходима автоматизация. Автоматизированная система должна делить весь поток по проблеме на «темы», т. е. объединять сообщения со схожей тематикой в некий отдельный поток. Например, при исследовании медийной активности вокруг политика чаще всего появляются темы «Коррупция», «Некомпетентность». «Аморальность» и т. п… А изменения таких потоков (тем) позволяют понять на что-же нацелился оппонент.
В качестве явных признаков можно назвать рост негативных высказываний в какой-то теме, причем рост этот созданный за счет астротурфинга (ботами и троллями). Ведь боты и тролли стоят денег — бесплатно они не работают, а значит кто-то вложил деньги в распространение негатива по определенной теме. Значит можно предположить, что данная тема может стать основной в атаке против объекта.
Автоматизация
Автоматизация подготовки на перспективу возможна с помощью мониторинговых систем. Мониторинговая система в интересах подготовки на перспективу должна помогать оператору отслеживать и заранее выявлять:
— Уязвимости своей аудитории или ее элементов и их изменения;
— Уязвимости аудитории противника и их изменения;
— Проявления интереса противника или иного субъекта к нашей аудитории;
— Подготовку к проведению информационной операции против нашей аудитории;
— Подготовку к проведению новой информационной операции противником;
— Изменение в регионах интереса, могущие привести к информационным операциям.
Для решения этих задач мониторинговая система должна иметь возможность:
— Осуществлять автоматический перевод с языков;
— Собирать (парсить) информацию из особых типов источников;
— Выявлять информационные операции;
— Исследовать ЦА, указанную оператором;
— Подбирать ЦА по параметрам, указанным оператором.
