Противодействие информационным войнам
Противодействие информационным войнам
Цикл противодействия
Помните цикл негативного воздействия на репутацию, а правильнее – цикл информационной войны? А теперь, зная как планируется, готовится и осуществляется информационная атака, попробуйте сказать что нужно для своевременного обнаружения атаки, а лучше подготовки к ней, быстрой выработки противоядия и реализации сценария противодействия? Именно с этой позиции рассмотрим весь процесс защиты Объекта от атаки на его репутацию.
Для эффективного противодействия информационным атакам в интернете необходимо соблюдать несколько простых правил.
- Контролировать инфополе. Причем инфополе не только своё, но и конкурентов, клиентов, объектов влияющих на рынок, а часто и сопредельных рынков. Признаки атаки, ее подготовки или возникновение условий для атаки могут проявиться не обязательно с упоминанием вас или вашей компании.
- Заранее формировать свои структуры противодействия так-как времени от обнаружения атаки до начала ваших активных действий будет мало. 30 минут, максимум два часа.
- Использовать непрямые методы нейтрализации, иначе вся борьба превратиться в «конкурс бюджетов» который очень быстро истощит вас и покажет публике все негативные стороны участников.
Цикл противодействия в общем и целом тот же, что и цикл информационной войны. И связано это с тем, что против агрессора используется то же самое оружие – информационное и те же самые технологии.
Всё начинается с выявления, но выявление нападения это уже опоздание, хотя чаще всего именно выявление атаки является началом хоть каких-то действий со стороны обороняющегося. Гораздо важнее выявить подготовку к нападению. В этом случае у вас появляется время на адаптацию инфраструктуры под особенности предполагаемой атаки. И тут главное понять, по каким признакам можно определить, что идет подготовка к информационной атаке. Выявить работу оппонента на этапе «Планирования» можно только агентурными методами. Гражданским структурам агентурная работа крайне противопоказана по законодательным причинам. А потому не будем на ней останавливаться. Хотя наблюдение (в интернете) за действиями ключевых фигур вероятного противника, так или иначе могущих быть причастными к подготовке информационной войны, и может дать возможность обнаружить изменения, свойственные принятию или обсуждению решений об информ-агрессии.
Выявление подготовки к инфовойне
На этапе подготовки информационной атаки противник вынужден совершать некоторые действия оставляющие следы. И если вам удается их обнаружить, то вы имеет возможность спрогнозировать атаку до ее начала, а значит получить время на подготовку к отражению.
Понятно, что на этапе планирования атаки на репутацию вряд-ли возможно узнать о такой подготовке кроме как в случае «утечки» от участников планирования. Но когда доходит до подготовки инфраструктуры, то появляются некоторые возможности понять, что готовится нападение. Конечно-же речь идет о больших (масштабных) проектах, требующих значительных усилий. Например, чтобы воздействие на аудиторию было максимальным, а затраты на такое воздействие свести к минимуму, необходимо понять уязвимости этой аудитории, понять те темы, на которые аудитория реагирует, понять какие каналы доставки ударного контента наиболее эффективны для этой аудитории, кто для этой аудитории является авторитетным источником и т.п.. Частично ответы на эти вопросы получают в ходе кабинетных исследований, но не редко для уточнения приходится проводить дополнительные исследования. Как вариант – опросы, пусть не объемные, пусть полушуточные или провокационные (как например «Самый уродливый памятник»). И такие действия, даже локальные, вполне можно выявлять, оценивать и формировать на основе оценки соответствующие прогнозы.
Выявление начала активной фазы
Технологии противодействия
Мониторинг
Для эффективного мониторинга нужно очень четко понимать для чего он вам нужен. И вот тут нередко возникает определенное недопонимание. Наиболее частый ответ «чтобы отслеживать упоминания объекта». Увы, это далеко не всё. Мониторинг инфополя вам нужен для того, чтобы вовремя, а лучше заранее, обнаружить потенциальные угрозы защищаемому Объекту и возможности для него. А возможностью для Объекта может являться то, что является угрозой для конкурента или некая особенность целевой аудитории. Это значит, что могут быть сообщения и без прямого упоминания вашего Объекта.
В упрощенном виде отслеживание инфополя должно осуществляться по следующим направлениям:
- Выявление угроз и возможностей себе, противнику, ЦА;
- Контроль изменений ситуации.
Итак, вы определились с тем, какой контент вас интересует. Теперь нужно понять что собирать с технической точки зрения. Это сами сообщения с их атрибутами (дата-время публикации, название, автор, ссылка), с социальной активностью вокруг них (лайки, репосты, комменты), с внедренными объектами (картинки, ссылки, видео, аудио, прочие файлы…), с метаданными (геолокация, используемый софт…), со спецсимволами (@, #, смайлики…).
Это быстрое определение точных копий контента (дублей), не полных копий (когда добавляется материал или частично удаляется-модернизируется), смысловых дублей…
Кластеризация текстов по тематикам – выявление тем. Определение тональности сообщения по отношению к объекту. И конечно-же выявление астротурфинга – платного распространения контента, например через идентификацию ботов и троллей.
А еще: -внедренные объекты (ссылки, картинки, файлы); -метаданные (геометки, тэги, даты создания); -данные по источникам (биржи ботов, рейтинги популярности, ангажированность).
Анализ
Что произошло или происходит Для понимания что произошло нам как минимум нужно разобраться в том, на сколько искусственен изучаемый процесс. Применительно к распространению негативной информации это понимание того, что информация распространяется реальными пользователями и процесс носит естественный характер или информация распространяется искусственно, а за процессом стоит заказчик, оплачивающий весь этот театр. В зависимости от этого набор применимых инструментов будет разный.
Какова опасность происходящего или какие возможности дает Не менее важно вовремя оценить потенциальную опасность происходящего или примерные возможности, которые нам дает судьба. По сути своей это прогнозирование, но в нашем случае – прогнозирования влияние на аудиторию распространяемого контента. Это оценка влиятельности контента, пластичности аудитории и скорости распространения ударных материалов.
Что делать чтобы было не так больно или как воспользоваться ситуацией И третьей задачей является выработка вариантов дальнейших действий в связи с выявленными процессами. Для негативных – как уменьшить негативное влияние на аудиторию. Для позитивных – как усилить позитивное влияние.
Анализ инфопотока Первая проблема с которой сталкиваемся это понимание того есть атака или нет атаки. Ведь атака - это умышленное действие по распространению информации, это искусственный процесс, а например, обсуждение пользователями интересной новости с вашим упоминанием это не атака, это естественный процесс. И для снижения негативного влияния в ситуации искусственной можно и нужно использовать технологии не приемлемые в ситуации естественной. Если взять график частоты упоминаний Объекта в сообщениях в интернете, то нельзя сказать имеем мы дело с медиаатакой или с обсуждением хайповой новости пользователями. Даже если видим явный всплеск частоты упоминаний.
Определить имеет место искусственный процесс (атака) или естественный процесс (обсуждение, недовольство клиентов и т.п..) можно разными способами. Но надо помнить, что даже качественно настроенный механизм определения отношения автора сообщения к интересующему нас Объекту (углубленный сантимент анализ), упомянутому в этом сообщении, не поможет в решении задачи определения органичности процесса. Кроме того, точность работы таких алгоритмов далека от идеала. Коллеги мне возразят, заявив, что на большом потоке сообщений благодаря статистической обработке оператор рано или поздно увидит негатив, даже если алгоритм определит только малую часть негативных публикаций. Но в том-то и дело, что «рано или поздно» - это значит, что вполне возможно вы увидите распространение негатива не в первые 10 минут или час, а значительно позже, когда бороться с самим вбросом уже бессмысленно, а нужно зачищать последствия этого вброса. Другими словами, вы в самый неподходящий момент можете оказаться в роли опоздавшего. По этой причине нужны иные способы выявления подобных действий.
Активность на «сливных бачках» «Сливные бачки» (еще их называют агрегаторы компромата, «вентиляторы», дерьмоисточники) специализируются на распространении разного рода инсайдов, компрометирующих материалов, расследованиях. Именно по этой причине появление на них упоминаний интересующего Объекта можно расценивать как сигнал опасности. Даже если Объект прямо не очерняется, он всё равно попадает в негативное окружение и срабатывает эффект переноса негатива. Мало того, подобные ресурсы часто используются для инициации атаки – для размещения первого ударного материала. Поэтому отслеживание подобных ресурсов позволяет своевременно определить начало активной фазы.
Главная проблема с такими ресурсами это их «непостоянство». Полагаю, ТОПовых представителей данного вида вы знаете. Это разнообразные вариации Компромат-ру, Роспресса и им подобных. Но помимо них есть много менее известных площадок. Кроме того, есть ресурсы ориентированные на определенную отрасль или регион, а то и на конкретный Объект. Но и это еще не всё, регулярно появляются новые подобные ресурсы, а другие перестают действовать по разным причинам от блокировки до продажи атакуемому. В общем жизнь бурлит и нужно постоянно отслеживать появление новых площадок.
Использование суррогатов Использование ботов или троллей в распространение информации прямо указывает, что кто-то вкладывает деньги в это распространение. Ведь их найм на бирже вовсе не бесплатен, а значит участие суррогатов это прямое указание на искусственность процесса.
Сложность с определением того является аккаунт таким суррогатом или нет. А если на график активности наложить информацию о том, что именно продвигали боты в тот или иной момент, то картинка заиграет новыми красками.
Группы связанных источников «Сливные бачки» как правило имеют сайты-сателлиты, предназначенные для поисковой оптимизации, для переноса ответственности за первую публикацию, для «доения» клиента или увеличения охвата. Эти площадки также используют и для создания видимости массированного распространения контента, дублируя на них материал с основного сайта. А значит отслеживая активность на таких ресурсах можно вовремя увидеть не только саму активность по продвижению материала о защищаемом Объекте, но и понять какая группа источников этим занимается. И самое главное – степень заинтересованности такой группы в распространении конкретного материала. Ведь есть разница между одной публикации на головном сайте группы и дублировании на всех например семи площадках группы, пусть и в несколько модифицированном виде? А дополнительные знания о принадлежности данных групп и их связях позволяют с какой-то долей вероятности понять кто исполнитель данного процеса.
