Журнал "Information Security/ Информационная безопасность" #1, 2019

В информационном про- тивоборстве очень многое зависит от того, насколько правильно выстроены реак- ции на атаки. Информацион- ные атаки, направленные на подрыв репутации, уже стали новым сегментом рынка теневых услуг. Соот ветственно, сформиро- вались типовые сценарии нападения, от которых нужно уметь защищаться по таким же типовым сцена- риям. Одновременно с цифро- вой трансформацией значи- тельно выросла имиджевая составляющая бизнеса. В эпоху традиционных кана- лов продвижения (реклама в СМИ и на телевидении) крупные компании легко наращивали свои преиму- щества, поскольку у конку- рентов не было денег на столь дорогую рекламу. Сейчас, когда реклама в Интернете стала стоить две копейки, выяснилось, что, во-первых, можно дешевле и эффективнее добиваться результата с выходом на нужную целе- вую аудиторию, а во-вторых, гораздо проще уронить репутацию конкурента, чем конкурировать с ним по пра- вилам. Начались информа- ционные войны. Они, конеч- но же, велись всегда, но в последние годы стали массовым явлением. – Как вы заметили выше, конкурентная раз- ведка ведет себя в рамках правового поля, а инфор- мационные войны про- исходят вне всяких рамок и правил. Каким образом "правильная" конкурент- ная разведка может помочь бизнесу в проти- водействии информацион- ным атакам? – Благодаря бурному разви- тию технологий появилось очень много пограничных ситуа- ций, где практика правоприме- нения еще не сложилась. Интер- нет-среда – это новая планета с населением 1,5 млрд человек, где в большинстве случаев дей- ствуют не законы, а свод эти- ческих норм. Мы столкнулись с еще одним новым явлением. 20 лет назад, чтобы проанализировать состояние бренда или его устой- чивость, достаточно было про- читать заголовки статей. Сразу становилось ясно, кто больше и круче, кто быстрее всех про- двигается на рынке. Существо- вало большое количество инструментов для мониторинга информационного поля, кото- рые в автоматическом режиме читали заголовки и анализиро- вали характер публикаций. Однако сегодня выяснилось, что при информационных ата- ках, реализуемых через соци- альные сети, данные инстру- менты перестают работать. Потому что атака развивается очень быстро, и реагировать на вбросы нужно практически мгновенно. Фиксировать источ- ник атаки необходимо до того, как она попадет в заголовки газет. Как правило, информацион- ные вбросы начинаются с про- фильных групп в соцсетях или в каких-нибудь популярных ано- нимных аккаунтах, каналах Telegram или на "желтых" ресур- сах, перекочевывая оттуда в официальные СМИ. Между официальными СМИ тоже идет конкуренция за читателя, поэто- му они зачастую не тратят время на факт-чекинг, стремясь как можно скорее донести горя- чую информацию до читателя и попасть в топ Яндекса. В сло- жившейся ситуации информа- ционного противоборства пре- имущества получат те, кто умеет работать непосредствен- но с "желтым" или "серым" Интернетом, а конкурентная разведка поднялась именно на том, что видит источники, неви- димые для других. В информационном противо- борстве очень многое зависит от того, насколько правильно выстроены реакции на атаки. Информационные атаки, направленные на подрыв репу- тации, уже стали новым сег- ментом рынка теневых услуг. Соответственно, сформирова- лись типовые сценарии напа- дения, от которых нужно уметь защищаться по таким же типо- вым сценариям. Здесь приведу два примера из жизни. Пример первый – когда "валят" банк среднего размера. Если нападающий рассчитал все правильно, примерно в чет- верг после обеда производится первый вброс о том, что дела у банка идут плохо. Якобы в банкоматах нет денег, в отде- лениях стоит очередь и народ волнуется, а крупные клиенты в понедельник переведут все счета в Сбербанк. Примерно в пятницу вечером эта волна выплескивается в СМИ и под- хватывается как единая масси- рованная атака. Соответствен- но, с началом выходных народ бросается к банкоматам, деньги в них заканчиваются, и через полчаса становится правдой то, о чем писали вчера в соцсетях. Клиенты постят фотографии и еще больше раздувают пожар информационной войны. Поэто- му в понедельник банку-жертве будет уже очень трудно встать на ноги. Все меры по противо- действию атаки надо было пред- принимать в пятницу вечером, когда сотрудники собирались идти домой. Пример второй – это реаль- ный кейс, которому место в учебниках по инфовойнам. Одному банку крупно повезло, так как нападающие сделали фальстарт. Новость попала в ленту РБК в четверг рано утром и провисела там 10 минут. Жур- налист увидел вбросы в соцсе- тях и, не проверив, перепечатал. Чуть позже пришел редактор и приказал удалить новость. Но ее успели увидеть некоторые читатели, включая сам банк. В банке был вице-президент, знающий, что и как надо делать при появлении признаков целе- направленной атаки. Первым делом он удвоил дежурную смену менеджеров, с тем чтобы к каждому входя- щему в офис посетителю под- ходил сотрудник банка. Второе, он удвоил число менеджеров в call-центре. Третье, была запу- щена отдельная страница в соц- сетях, на которую переключался поток входящих звонков. Пока человек ожидал в очереди вызовов, автоинформатор сообщал ему, что все разъясне- ния по поводу сегодняшней новости он может почитать на нашем сайте. Далее пиарщики банка распространили слух о заказном характере наезда, и в то же утро провели пресс- конференцию с трансляцией через Интернет. В итоге банк не только устоял, но и провел феерическую импровизированную акцию. Всем, кто приходил закрывать счет, выдавались не только деньги, но и крутая бейсболка в подарок, с надписью "Паника, паника!". А раз банк позволяет себе такие вольности, у рынка не возникнет впечатление, что дела у жертвы действительно идут плохо. – И каково будет ваше резюме, общие рекомен- дации для порядочного бизнеса из этих двух исто- рий? – Резюме этих историй тако- во: за устойчивость бренда в критических ситуациях долж- на отвечать служба безопасно- сти, а не пиар-отдел. Второе: у банка (как у любой другой компании) должен быть вице- президент с функциями руко- водителя антикризисного штаба, которому подчиняются и операционные менеджеры, и пиар-служба, и безопасность. Третье: в каждой организации должна быть бумага под назва- нием Action Plan, то есть план действий в кризисных ситуа- циях. Не понимаешь, что про- исходит, – открыл, прочитал и делаешь все по пунктам. План действий избавляет сотрудни- ков от паники и самодеятель- ности. Четвертое: должна рабо- тать система раннего пред- упреждения, которая отслежи- вает появление активных угроз на ранних стадиях. Эту систему нужно настроить так, чтобы под- хватывать вбросы раньше дру- гих и определять их источники и пути распространения. Служба конкурентной развед- ки должна обеспечивать руко- водителя штаба разведданными от первичных систем монито- ринга, раннего обнаружения и предупреждения угроз для быстрого и точного реагирова- ния. В спецслужбах подобные 44 • ЦИФРОВАЯ ТРАНСФОРМАЦИЯ