Отражение информационной атаки: алгоритм действий

Время прочтения: 9 минут

Тэги: eTarget, управление репутацией

О чем статья?

Кому полезна статья?

Cкорость распространения информации в сети, интерес пользователей к публичным разборкам, простота запуска очерняющих кампаний привели к резкому росту уязвимости бизнеса. К инструментам, которые способны подорвать репутацию организации, относится информационные атаки. В статье расскажем, как и за счет чего они происходят, поделимся алгоритмом борьбы с ними, а также рассмотрим кейс из практики. 

Материал подготовлен на основании выступлений Игоря Ашманова на конференциях eTarget.Репутация.  

Информационная атака — это манипуляция общественным мнением

Компания или персона не может навязать в социальных медиа свой имидж — его формирует массовый пользователь. При этом негативную информацию он воспринимает быстрее и эмоциональнее. Этим пользуются недоброжелатели и, чтобы нанести ущерб предприятию, организуют вброс и распространение в интернете подрывающего репутацию контента, то есть информационную атаку. Акции в отношении бизнеса обычно длятся две-три недели. 

Информационный вброс как элемент атаки

Первые публикации сообщения при информационной атаке называются вбросом. Недоброжелатели размещают его с целью создать «источник» и снять ответственность за контент с того, кто его распространяет. 

Что такое вброс в интернете

Чтобы информацию распространили быстро, вбросы осуществляют в соцмедиа — через «сливные бачки» (квази-СМИ), а также «спящие» аккаунты или платных блогеров. 

Это выгодно, поскольку аудитория здесь активнее обсуждает негатив. Если вброс соответствует ожиданиям, он быстро взлетает. Например, информация о том, что банк обманывает с процентами или что компания потеряла данные пользователей.  

Разница в объеме просмотров и репостов позитивной и негативной публикаций

Блогеры, новостные агрегаторы и сообщества, которым нужен охват, публикуют информацию у себя, не проверяя достоверность — обычно делают ссылку на факт обсуждения в интернете.

Наконец, алгоритмы платформ формируют информационный пузырь: создают уникальные ленты, показывают похожий на одобряемый пользователем контент, замыкают на своей экосистеме, дискриминируя записи с внешними ссылками. 

Инструменты информационной атаки

После вброса информация распространяется с помощью следующих инструментов:

• платных ресурсов — блогеров, телеграм-каналов, интернет-СМИ, которые готовы постить на заказ практически все;

• платных троллей — людей, которые за вознаграждение регулярно создают комментарии и посты на определенную тему;

• сетей ботов — специальных программ, которые автоматически размещают комментарии, твиты;

• систем усиления сигнала — тысяч живых людей, которые добровольно делают перепосты информации. Применение такого метода гораздо выгоднее организаторам атак, чем программирование и регулярное обновление ботов, которых легко вычисляют современные антифрод-системы; 

• традиционных СМИ и квази-СМИ — ресурсов, которые превращают инфоповод в новость.

Как распознать, что против бизнеса началась информационная атака

На фоне инфоповода могут возникать естественные медийные события и атаки. Первое может резко вспыхнуть, но обсуждения постепенно — обычно через три-пять дней — затухают. В течение этого времени бывают всплески активности, например, когда руководителю компании предъявили обвинение или подозреваемого взяли под арест. Но, если новость не поддерживается извне, естественное событие плавно завершается. 

Атака же имеет вид полочки — резко начинается, подогревается и волнообразно распространяется, резко обрывается. 

Разница в медийной интенсивности в случае естественного события и информационной атаки 

Стоит отметить, что эффективно организованная информационная атака может казаться неотличимой от естественного события. Но при расследовании инцидента проявится следующая схема:

1. Подготовка контента. На этом этапе организаторы подбирают тему и формы для транслирования сообщений аудитории так, чтобы они соответствовали ожиданиям пользователей. 

2. Вброс. Недоброжелатели публикуют сообщение в «сливных бачках», спящих аккаунтах, у платных блогеров. 

3. Распространение. С помощью ботов, платных авторов контента и ресурсов, а также естественных репостов вброшенную информацию передают в сети. Примечательно, что в случаях атаки обычно репостят одну и ту же новость: оригинальных материалов мало, а копий много. 

4. Отмывка через СМИ. Крупные ресурсы подхватывают информацию, затем ее переписывают в социальных сетях, а после она снова попадает в СМИ со ссылкой на интернет-обсуждения.

5. Поддержание. На этом этапе создаются волны, чтобы сохранить интерес к сообщению: добавляются новые вбросы, повторяются старые. 

Как отразить информационную атаку: рекомендации и практика

Далее назовем восемь общих правил, которые помогут разрешать кризисные ситуации, предложим несколько тактических рекомендаций и покажем их применение на примере кейса. 

Общие правила

• Не молчать. Молчание воспринимается как признание вины или слабости. А критика быстро распространяется и накапливает эффект, поэтому ее не нужно игнорировать. Это касается и бизнеса, и отдельных персон. 

• Не оправдываться. Вместо этого следует разъяснять истинное положение дел, аргументировать. 

• Не врать. Ложь быстро разоблачат. Необходимо предоставлять факты. 

• Не очернять в ответ. Нападения или агрессивные ответные действия не решат проблему. Такой подход способен привести лишь к общей потере репутации и силы.  Лучший способ — найти альтернативные законные пути воздействия: например, обратиться в суд или поговорить лично.

• Не гоняться за инсайдерами. Это не принесет пользы. Нужно регулярно проводить разъяснительную работу в организации. 

• Информировать. Важно сообщать читателям актуальные данные, новые интересные детали относительно события.  

• Сдвигать фокус внимания. Тему следует поворачивать в свою сторону, делая акцент на том, что происходит на самом деле.

Создавать для опровержения вирусный эффект. Полезным будет запуск акций по исправлению ситуации, которые смогут искренне заинтересовать читателей и сподвигнуть распространить информацию среди как можно большего числа людей.

Конкретные действия

• Когда информационная атака уже случилась, пострадавшей компании важно ежеминутно мониторить ситуацию в сети. Для этого следует создать группу быстрого реагирования, нанять профессионалов в сфере ORM/SMM. 

• Также компания должна выработать список ответов на неприятные вопросы, создать общую канву объяснения ситуации и придерживаться ее во всех сообщениях. Нужно опубликовать в сети содержательный контент, связанный с инцидентом, с опорой на факты. 

• Чтобы создать опровержениям вирусный эффект, важно убедить высказаться высших лиц организации. 

• Компании следует организовать активную работу в сети: находить самые горячие обсуждения, оспаривать их, ссылаясь на факты, вскрывать ложность и ангажированность, взаимодействовать с лидерами мнений — СМИ и VIP-блогерами. При этом нельзя прибегать к помощи ботов: такой подход быстро вскрывается, нарушает доверие и может перерасти в новый негативный инфоповод.

• Наконец, в ходе расследования важно найти источники и исполнителей атаки, спланировать методы офлайн-воздействия на них. 

Кейс: отражение информационной атаки на ГК InfoWatch

Как правило, клиенты предпочитают не разглашать истории о борьбе с информационными атаками и работе над исправлением репутации. Однако в 2018 году на конференции eTarget.Технологии управления аудиторией в Интернете Игорь Ашманов рассмотрел подробный кейс в отношении родственной «Ашманов и Партнеры» организации — InfoWatch. Компания занимается борьбой с утечками в корпорациях.

Что случилось

Атаку обнаружили после того, как в малоизвестном СМИ об информационной безопасности появилось сообщение об утечке данных в компании.  

Временна́я шкала атаки

В качестве доказательств «слитой базы» к сообщениям прилагали ссылку на облачный сервис. Внутри находились: 

• пять файлов со спецификациями и ценами на бланках InfoWatch без указания на заказчиков или партнерские скидки. Три из них были одинаковыми. 

• Excel-таблица под названием «Отчет Полный список контактов». В ней были перечислены 4896 контактов с указанием имен, фамилий. Часть строк содержала наименования компаний, должности, а также электронные почты и телефоны. На InfoWatch указывали только контакты 200 сотрудников: действующих и бывших. Комментариев, например, о коммерческих показателях в таблице не было. Наконец, в документе имелась дата — 20.08.2016 года, тогда как согласно метаданным, его создали 10.04.2017 года.

Как распознали атаку

Отграничить данное действие от простого сообщения, которое разошлось по сети, позволили следующие признаки:

• инцидент обсуждали долго. О возможной утечке активно говорили порядка двух недель. Будь это естественным медийным событием, блогеры и СМИ потеряли бы к нему интерес через три — пять дней; 

• данные распространяли из одного источника. Атака подогревалась в соцсетях. Информацией начали делиться только мелкие блогеры посредством репоста одних и тех же новостей; 

• действовали продуманно. До публикации сообщения о якобы произошедшей утечке клиенты и конкуренты InfoWatch, а также СМИ, получили информационные рассылки. То есть организаторы инцидента потратили ресурсы и время, чтобы спланировать свои действия, собрать адреса, продумать механизм сокрытия обратных адресов; 

• схему реализовывали быстро. Между рассылками и первым сообщением в СМИ прошло шесть часов. Через 12 клиенты компании, в основном по контактам, которых не было в «слитой базе», начали получать звонки; 

• отводили внимание. Недоброжелатели использовали образ обиженного сотрудника, который якобы находился в конфликте с компанией из-за невыплат. В качестве источника данных ссылались на имя бывшего исполнительного директора InfoWatch. При этом у компании не было споров с текущими и бывшими сотрудниками по поводу денег. 

Как действовали

1. Начали открыто обсуждать ситуацию. Во всех соцмедиа, где распространялась ложная информация, прямо объясняли, что происходит на самом деле: не оправдывались, не игнорировали, не утаивали подробности атаки. Все сообщения исходили от главных лиц — гендиректора InfoWatch Натальи Касперской (о факте атаки) и Игоря Ашманова (о процессе расследования). 

2. Подробно расследовали инцидент. Изучили файл с «базой» и обратные адреса рассылок, проанализировали мотивы участников атаки. Нашли источник, подробно описали, почему в нем уверены, выложили доказательства.

Оказалось, что бывший сотрудник компании, уволенный за полтора года до события, передал конкуренту что-то похожее на базу своих клиентов. Ее «доработали» и стали выдавать за актуальную утечку.

Активные действия сотрудников SearchInform — конкурента InfoWatch — указывали на вовлеченность в атаку. Они подогревали тему, спустя лишь несколько часов с начала атаки связывались с клиентами и предлагали перейти на продукт их компании и так далее. Также СМИ, в которое сделали вброс, принадлежало бывшим сотрудникам того самого конкурента. Наконец, других получателей выгоды у атаки не было: «обиженные сотрудники», прочие конкуренты никак себя не проявляли. 

3. Использовали дружественное СМИ — Roem — как склад ссылок. Нужно было создать базу контента больше и убедительнее, чем использовалась в ходе атаки. Поэтому сначала в издании опубликовали детали расследования, а затем по договоренности с главредом создали ленту событий, где с юмором сообщали обо всех изменениях ситуации. 

Чем все закончилось

Атака завершилась за две недели. Конкурент, которого назвали организатором инцидента, начал оправдываться и угрожать судебными разбирательствами о клевете. В итоге суд обвинения не принял, и ситуация окончательно разрешилась. 

Игорь Станиславович подчеркнул, что разрешить ситуацию позволили следующие действия: 

• от имени компании говорили главные лица;

• команда создала склад контента с доказательствами, на который можно многократно ссылаться;

• по итогам расследования прямо указали на источник атаки и вскрыли его мотивы.   

Подробный разбор кейса смотрите в видеозаписи доклада Игоря Ашманова.

Способы противодействия информационной атаке

Главный шаг к тому, чтобы пережить нападки недоброжелателей с минимальными потерями, — это регулярная работа по управлению репутацией в интернете. О том, как это делать, подробно рассказали в статье про ORM.

В условиях информационной атаки важно действовать быстро: оперативно идентифицировать источник, реагировать и использовать заранее подготовленные материалы в качестве “страховой подушки”. Однако экстренные меры будут гораздо эффективнее, если за ними будет стоять систематическая работа по созданию позитивного информационного фона, которая снизит уязвимость компании перед негативом». 

Чтобы компания была в состоянии быстро отреагировать на нападки в любых каналах и формах, нужно встроить в текущие бизнес-процессы готовность к инцидентам. Предпринять можно следующее:

• Внедрить системы мониторинга. Например, мы для отслеживания упоминаний в сети используем систему «Крибрум». Она охватывает более 800 тыс. онлайн-площадок и способна обнаружить упоминания через 15 секунд после публикации. Также система поддерживает мониторинг офлайн-источников: ТВ, печатной прессы, радио. 

Площадки, формы контента и действия, которые обрабатывает «Крибрум» каждый день 

В статье о сервисах мониторинга упоминаний привели обзор этого и других инструментов с широкими функциональными возможностями.

• Заранее подготовить убедительное объяснение на случай прогнозируемых неприятных ситуаций или контент, который поможет справиться с кризисом. 

Здесь отметим, что существуют организации, атаки на которые неизбежны. Так, на практике на добывающих предприятиях встречаются систематические аварии из-за человеческого фактора, а не из-за экономии на безопасности. Например, при обнаружении газа в шахте, деятельность до устранения утечки приостанавливают. Шахтеров это не всегда устраивает и, чтобы не прекращать работать, они заматывают датчики полотенцами. За этим следует взрыв, человеческие жертвы, что приводит к вбросам и негативу. Подобные инциденты можно предсказать. Чтобы избежать паники и других недоразумений во время информационной атаки, можно подготовить, к примеру, видео о достижениях компании в области безопасности. 

• Нанять специалистов, которые понимают цифровую среду, и создать силы быстрого реагирования. В условиях современной медийной активности крайне важно, чтобы компании умели оперативно действовать в случае кризиса. Это возможно, когда бизнес-процессы строятся на работе профессионалов с нужными навыками. При этом не всегда нужно решать проблему исключительно своими силами — можно формировать гибридные команды из экспертов со стороны и инхаус-специалистов. Традиционные PR-отделы с задачей быстрого реагирования вряд ли справятся: следует подключать дружественных лидеров мнений, авторов телеграм-каналов, блогеров и так далее.

Перечисленные методы позволят более эффективно справляться с медийными нападками и свести к минимуму их негативные последствия. 

Узнайте, какие решения мы предлагаем для защиты от информационных атак.

Полное выступление Игоря Ашманова на конференции eTarget. Репутация смотрите на видео