Матриця загроз інформаційної сфери
Відбулися презентації структур, які задекларували, що будуть боротися з дезінформацією, — Центру стратегічних комунікацій та інформаційної безпеки та Міжнародного центру протидії дезінформації. З усіх побачених мною презентацій я з відповідальністю можу зробити два конкретні висновки.
По-перше, треба припинити безадресно «боротися» з дезінформацією і почати ефективно комунікувати з цільовими аудиторіями. Концепція просто «боротьби/протидії» ось уже восьмий рік заважає нам побачити найважливіші речі.
По-друге, більшість із тих, хто представляв оновлену державну діяльність у сфері протидії дезінформації та інформаційної безпеки, на жаль, ще не до кінця усвідомлюють, із чим саме вони мають справу.
А тому нам своє робити — тобто продовжувати конструктивно описувати процедури та процеси сфери забезпечення інформаційної безпеки. Сьогодні йтиметься про «матрицю загроз».
ІСОМІЗОР
На першому слайді презентації Міжнародного центру протидії дезінформації серед інших цілей були вказані «протидія спеціальним інформаційним операціям (СІО) держави-агресора», а також «створення інтегрованої системи оцінки інформаційних загроз та оперативного реагування на них». Обидві фрази узяті з Доктрини інформаційної безпеки України, затвердженої рішенням РНБО від 29 грудня 2016 року, до розробки якої причетний ваш покірний слуга.
Створення інтегрованої системи оцінки інформаційних загроз та оперативного реагування на них було одним із перших пріоритетів забезпечення інформаційної безпеки.
Щоб виконати це завдання, моя команда на базі Міністерства інформаційної політики України впродовж 2018 року розробила низку важливих документів, які так і не побачили світ у зв’язку з воєнним станом та виборами нового президента.
Одним із таких документів була Концепція інтегрованої системи оцінки та моніторингу інформаційних загроз та оперативного реагування на них (або ІСОМІЗОР), текст проєкту якої ви можете прочитати тут.
Консультантами й авторами проєкту були Олексій Тарабукін, Олександр Макобрій, Олексій Харченко та ваш покірний слуга. Концепція мала би відкрити ряд можливостей оминути перепони, з якими ми стикнулися під час роботи. Але робота велася і до її появи. Концепція мала би впорядкувати бюрократичний хаос, який зараз і призвів до появи двох Центрів замість одного.
Ба більше, пан Олександр Ольшанський, відповідаючи на питання під час презентації, анонсував, що такі центри будуть створюватися і при інших органах державної влади.
Польові дослідження інформаційних загроз
Протягом 2017-2018 років ми вивчили тонкощі роботи провідних систем моніторингу текстового контенту онлайн як в Україні, так і за кордоном. Окрім того, багато знайомилися з аналогічними платформами, які використовуються нашими ворогами у Адміністрації президента Росії, — «Катюша», «Інцидент», «Avalanche», «Медіалогія» та інші. Також важливо зрозуміти, яким чином вибудовує логіку інформаційної роботи наш ворог.
В результаті ми зрозуміли, що жодна з вітчизняних платформ не задовольняє наших вимог та не виконує ті завдання, які ми сформулювали в рамках реформи кризових комунікацій. Усі моніторингові інструменти базуються на завчасному описі загрози за допомогою ключових слів. Тобто спочатку ти описуєш загрозу, а потім роботи шукають її для тебе і повідомляють, якщо знайдуть.
Однак це не працює, якщо ти точно не знаєш, яка саме загроза на тебе чекає. Грубо кажучи, доки фейк про нібито підірваного українським беспілотником хлопчика не з’явився на топових виданнях — ми про нього не здогадувались і не могли отримати від оперативного автоматизованого моніторингу. Хоча в теорії це можливо — на практиці постійний вал інформації не дозволив би його «вловити» раніше за потрапляння у великі аудиторії. Тому ми розробили окреме технічне завдання для напрацювання програмного комплексу, який би мав забезпечити виправлення проблем, із якими нам довелося зіткнутися.
Загалом на розробку програмних продуктів у галузі моніторингу інформаційного простору з українського бюджету, за моїми суб’єктивними підрахунками, було витрачено близько 170 мільйонів гривень за останні сім років. Ще кількасот мільйонів гривень було витрачено різними державними органами від Кабміну до облдержадміністрацій на закупівлю послуг із моніторингу медіапростору в комерційних постачальників.
На жаль, попри мої особисті прохання, окремі органи національної безпеки України так і не поділилися своїми напрацюваннями, оскільки «вони ж усі таємні». Найщільніша співпраця склалася із Ситуаційним центром МЗС, який, на мою думку, був найпрофесійнішим у сфері органів виконавчої влади з точки зору процедур та аналізу загроз. Хоча ніякого спеціального програмного забезпечення там встановлено не було. Усе залежало від ставлення людей до роботи та від управлінської майстерності команди Клімкіна.
Саме за їхнім прикладом ми тестували різні формати процедур реагування у період оголошення воєнного стану в десяти областях України у грудні 2018-го.
Так чи інакше, завданням було «надягти» максимально оперативну автоматизовану цифрову систему детекції проблем в інфопросторі, на негнучкий, іржавий і подекуди совковий апарат виконавчої влади в Україні. Плюс зробити його максимально централізованим сервісом обслуговування пресслужб та комунікаційних підрозділів усіх держорганів.
Для цього на власних серверах планувалося розгортання платформ для оперативного збору та опрацювання інформаційних повідомлень, їх автоматичної кластеризації й тегування. А також створення операціоналізованого словника зі шкалою часу та автоматизації створення лінгвістичної шкали.
Система мала застосувати графи для автоматичного опрацювання великих масивів даних у режимі, наближеному до реального часу, й порівнювати їх з історичними даними. Виявляти патерни, спільні характеристики в повідомленнях, авторах, групах авторів. Оцінювати оригінальність та повторюваність (у тому числі рерайту) фрагментів текстів. Створювати автоматичні реферати (довідки) про інформаційні події на основі повідомлень.
Нова система повинна була мати вбудований алгоритм визначення «маркерних» інформаційних подій (повідомлень про події) відносно всього масиву повідомлень, які мають особливий характер, — іншими словами, будувати сюжети про події в режимі реального часу. Це була частково наукова, частково управлінська робота з великою кількістю зустрічей, яка завжди залишалася за кулісами діяльності міністерства.
Матриця загроз
Раз по раз ми спільно приходили до висновку, що нам не треба моніторити все, як хоче пані Поліна Лисенко, про що вона сказала під час презентації. По-перше, на «все» не вистачить ні сил, ні грошей. По-друге, «все» буде відволікати нас від «головного».
Головним критерієм оцінки загрози в інформаційній сфері для нас була й залишається «повторюваність повідомлення». Якщо історію про «підірваного хлопчика» розповіли декілька тисяч разів на тих медіамайданчиках, які ми визначаємо як важливі, то мені навіть все одно — фейк це чи не фейк.
Якщо якась історія поширюється так інтенсивно, то державні комунікації повинні з нею працювати. Не факт, що ми виявили саме «загрозу», оскільки якщо ми виявили поширення історії достатньо рано, щоби сформувати свій наратив про цю історію, — то вона із «загрози» перетворюється на нашу «можливість».
Головною метою ІСОМІЗОР ми визначили скорочення відрізку часу між моментом появи інформації в публічному доступі, моментом її детекції системою та моментом прийняття рішення про необхідність державної комунікації з цього питання. В ідеальному світі рішення про необхідність реагування мало бути прийняте впродовж 120‒150 хвилин після розгону певної «новини», що була сприйнята нами як загрозлива.
Та навіть такий простий алгоритм потребує впорядкування, кластеризації та пріоритезації в реагуванні. Для цього ми планували використати модель, котру побачили в ситуаційному центрі Збройних сил Литви, до якого приїжджали обмінюватися досвідом.
Для кластеризації й аналізу зібраної інформації литовські вояки використовують складну систему критеріїв, яку ми використали за основу для розробки власної «матриці загроз». Весь масив зібраних повідомлень поділяється на теми за «контентними» ознаками. Тем не може бути більше шести-семи, оскільки для обслуговування кожної з них потрібна, щонайменше, окрема людина. До таких тем може бути віднесено:
- війна та окупація;
- історія;
- культура (мова);
- дії та реформи держави;
- міжнародні відносини України
Кожна тема складається із загальних дворівневих наративів. У «Білій книзі спеціальних інформаційних операцій проти України» запропонована система дворівневих наративів у вигляді серіалів та сезонів. Серіали — це загальні наративи російської пропаганди, яких ми нараховуємо до 40 штук. Сезони — це піднаративи, комплекси різних неправдивих повідомлень одного вузького спрямування. Ну, і, нарешті, самі меседжі — тобто, власне, неправдиві повідомлення.
Крім комплексу тем, наративів та меседжів, для матриці загроз наші литовські партнери використовували ще й іншу класифікацію, яка допомагала виявити відповідальних за конкретний сегмент комунікацій. Це — об’єкти та мішені (слово «мішень» я використовую як переклад з англ. target, оскільки в українській мові слово «ціль» буде вносити плутанину).
Об’єктами є конкретні державні політики (у сенсі policies) та програмні документи. Так, наприклад, передвиборча програма президента, яка, по суті, є «дорожньою картою» його президентства, може бути об’єктом атак. А сам президент або його дружина чи інші найближчі люди, як-от керівник офісу, відповідно, можуть бути мішенями російської пропаганди.
Об’єкти і мішені можуть бути атаковані в контексті певних конкретних тем чи наративів. Таким чином, саме тому це й називається матрицею.
Ще одним аспектом кластеризації зібраних даних є цільова аудиторія, яка також є об’єктом впливу. Із 2014 року прийнято виділяти чотири глобальних цільових аудиторії:
- громадяни України, які живуть на підконтрольній уряду території;
- громадяни України, які живуть на окупованих Росією територіях;
- громадяни та політичні еліти і лідери думок іноземних країн, уряди яких підтримують Україну;
- громадяни Російської Федерації та країн, які підтримують державу-агресорку.
Найдетальніше має, звісно, бути сегментована аудиторія українців.
Останнім цікавим критерієм кластеризації даних може бути час, який є контекстом шкідливого інформаційного впливу: минуле, теперішнє, майбутнє.
Інформаційні атаки можуть здійснюватися на теми і об’єкти в минулому. Як щодо історії України так і загалом щодо всіх подій, що відбувалися до сьогодні. Атаки на теперішнє обіцяють несприйняття суспільством поточної політики чинної влади або розвал дружніх відносин з іноземними державами-партнерами.
Від майбутнього залежить, наскільки плани та програми уряду і президента будуть втілені в життя. Тому для прогнозування інформаційних атак необхідно мати відповідну хронологічну шкалу, на якій будуть доступні одночасно всі плани дій та рішень органів державної влади. Включаючи законопроєкти, що готуються до прийняття та імплементації, — як-от закон про землю або про підвищення штрафів за порушення ПДР.
Побудова тривимірної (або декількавимірної) матриці загроз дозволяє сконцентрувати маленькі ресурси на справді важливих темах. Та, як завжди у своїх публікаціях, я наголошую, що все це не має жодного значення, якщо в державі відсутня прозора і вертикально інтегрована система управління стратегічними комунікаціями.