В результате мониторинговая система «видит» не всё, что появляется в плане контента в открытом доступе, а только часть и не всегда в «увиденном» находится то, что нужно для решения вашей задачи.
Не менее интересным является и то, как мониторинговая система препарирует собранные данные. В смысле что считает и как показывает пользователю. Обычно это статистический анализ: чего, когда, в каком количестве, где и в каком виде публиковалось. Этого не то чтобы мало для определения есть атака или нет, а вообще никак не помогает для ответа на данный вопрос. Ведь что такое атака на репутацию в интернете? Это искусственное распространение нежелательного контента. Именно искусственное. По тому, что естественное распространение — это обычно недовольство клиентов. В общем все эти красивые графики не позволяют сказать есть атака или нет. И тем более не позволяют разобраться в особенностях атаки. Понять задействованные силы, оценить масштабы и примерные затраты на организацию атаки, определить используемые приёмы и как развивалась атака.
Активное противодействие — На эффективность организации мониторинга влияет активное противодействие противника в формате маскировки, дезинформирования и «борьбы с русскими троллями», в рамках которой им (противником) проводится работа:
— По выявлению возможных мероприятий влияния со стороны России;
— По выявлению инфраструктуры влияния;
— По блокированию источников (в т. ч. аккаунтов), задействованных в распространении «Российской пропаганды».
Это подразумевает необходимость предпринять усилия по сокрытию следов работы системы и вытекает в дополнительные условия по ее анонимности.
Масштабы планируемой ИО
Неопределенность в масштабах будущих информационных операций выражается в следующем:
— Заранее неизвестно в каких локациях понадобится работать в будущем;
— Заранее неизвестно с какими языками придётся работать;
— Заранее не известно с какими социальными сервисами (в т. ч. соцсетями) придётся работать;
— Заранее неизвестно с какими объемами ударного контента понадобится работать в будущем.
Это подразумевает соответствующие требования к инфраструктуре, к аппаратным мощностям создаваемой системы и к возможностям её адаптации.
Технологические ограничения
Есть ряд специфических ограничений, связанных с особенностями осуществляемых действий и среды функционирования — технологические ограничения:
— Число поддерживаемых системой аккаунтов для разных сервисов (суррогатов);
— Число площадок (сервисов), доступных системе для активной работы;
— Число одновременно ведущихся операций по поиску и по сбору информации и их интенсивность;
— Число пользователей, одновременно работающих с системой;
— Число стран (территорий), где планируется ведение информационных операций и соответственно поддерживаемых языков.
Мало того, создание и поддержка пула аккаунтов для поиска и сбора информации требует предварительной проработки следующих вопросов:
— В каких сервисах планируются работы;
— Сколько активностей в сутки планируется;
— На сколько «токсичный» контент;
— Какие схемы анонимизации и имитации человекоподобия планируются;
— Какие технологии продвижения (разгона) использовать;
— Кто и как будет поставлять аккаунты для активных мероприятий.
От этого зависит сколько аккаунтов, в каких соцсетях и какого качества нужно иметь в оперативной доступности, сколько в резерве и сколько новых нужно будет периодически добавлять в систему для поддержания требуемого уровня работоспособности.
В каких соцсетях планируется работать — каждая соцсеть (сервис социального взаимодействия) имеет ряд своих особенностей, которые могут значительно отличаться и это тоже необходимо учитывать:
— Набор доступных пользователю функций в каждой конкретной соцсети;
— Связанность соцсети с госструктурами и подконтрольность им;
— Уровень русофобии администрации ресурса и страны;
— Терпимость основной массы пользователей к контенту не соответствующему их взглядам.
От этого зависит какие затраты необходимы направить на решение задач:
— Анонимизации и поддержки человекоподобия аккаунтов;
— Маскировка воздействия и адаптация контента под особенности аудитории и среды распространения;
— Доступ к разным механизмам распространения ударного контента в каждом конкретном социальном сервисе.
Сколько активностей в сутки планируется — имеется ввиду сколько обращений к сервисам по поиску и по скачиванию в сутки нужно инициировать. Например, несколько обращений от одного аккаунта уже достаточный повод для блокировки такого аккаунта администрацией сервиса.
На сколько «токсичный» контент планируется к поиску и сбору — на сколько контент опасен с точки зрения «власти» той страны, где планируется поиск и сбор. Если контент опасен, то аккаунты, которые его ищут и скачивают быстро попадут в поле зрение госорганов и будут удаляться администрацией соответствующих сервисов, или будет организована оперативная игра, например по дезинформированию. А значит необходимо контролировать «незасвеченность» используемых аккаунтов и нужна будет регулярная замена этих аккаунтов на новые, а это дополнительные затраты на их закупку и адаптацию.
На сколько хорошо должен быть легендирован сам аккаунт и совершаемые им действия. Данный параметр зависит от закрытости сервиса, где планируется поиск и сбор. Так для попадания в закрытую часть форумов обычно необходимо активное и полезное общение на форуме или рекомендация от уже проверенного участника форума.
Отдельно вопрос в том, кто и как будет получать аккаунты для поиска и скачивания с соцсервисов. С учетом того, что и нужно много и периодически аккаунты будут банить по подозрению и без оного. Поэтому нужно постоянно пополнить их парк.
Варианты получения аккаунтов:
— Самостоятельное создание и развитие аккаунтов;
— Покупка аккаунтов на торговых площадках в ДаркНет;
— Аренда чужих аккаунтов напрямую или через биржи.
— Самостоятельная регистрация, наполнение и развитие требует много ручной низкоквалифицированной работы, а значит и затрат времени, затрат на сим-карты и их поддержку и девайсы для подтверждения аккаунтов и фонд оплаты труда.
Покупка аккаунтов на торговых площадках в ДаркНет предполагает решение вопросов с ОРД так-как речь идёт о взломанных аккаунтах.
Аренда аккаунтов на биржах сопряжена с риском утечки информации так-как администрация таких бирж особого внимания безопасности данных клиентов не уделяет. Кроме того, большинство таких бирж в рунете имеет украинские корни. Другое дело если создать свою подконтрольную биржу и развить ее, тогда кроме доверенного сервиса по найму аккаунтов еще появляется источник информации о планируемых манипулятивных проектах.
Нет устойчивого контентного признака информационных операций — вброс (первичная публикация ударного контента) это не обязательно ложная информация — фейк. Для вбросов используют и достоверную информацию как ударный контент, и реальную информацию с вкраплением дополнительных данных, и полностью искусственно сгенерированную информацию. Поэтому наличие лжи или иного манипулирования нельзя использовать как достаточный признак вброса. Как и наличие в контенте признаков манипулирования аудиторией вовсе не является достаточным признаком для утверждения, что контент используется противником для соответствующего воздействия на аудиторию.
Невозможность контролировать работу рекомендательных алгоритмов — для принудительного распространения ударного контента в масштабных информационных операциях используются рекомендательные алгоритмы крупных социальных сервисов. Такое решение принимается на уровне менеджмента данных площадок. А отслеживать такую активность без доступа к серверам соцсети очень затратно. Даже если вы создадите аккаунты в целевой соцсети со всеми возможными характеристиками защищаемых ЦА (метод ловушек), всё равно есть вероятность пропустить какой-то ударный контент например по причине особых требований к ЦА у противника или появление интереса противника к новой (неожиданной) ЦА в силу выработки новой стратегии воздействия.
