Ключевая функция любого ситуационного центра – работа с информацией. Сотрудники ситуационного центра должны получать и обрабатывать данные, оперативно оценивать текущую ситуацию, своевременно реагировать на угрозы, а также прогнозировать развитие событий и управлять рисками. Проблема заключается в том, что данные зачастую поступают в виде неструктурированных «кусков»: они аккумулируются либо в том же виде, в котором поступили, либо с минимальной обработкой. Найти в этом массиве то, что действительно поможет принять решение, отделив от того, что помешает это сделать, – основная задача при управлении информацией.
При этом важна ситуационная осведомленность не только во время кризисной ситуации, но и до ее возникновения. Понимание того, что происходит вокруг защищаемого объекта, какие внешние и внутренние факторы могут привести к кризисной ситуации, а какие нет, позволяет перейти от стратегии реагирования на возникшую проблему к стратегии предотвращения проблемы как таковой.
Вкратце перечислим основные задачи сотрудников ситуационного центра:
- Отслеживание состояния объекта, раннее обнаружение отклонений от нормы
- Анализ факторов влияния на объект и их возможных последствий
- Поддержка принятия решений на всех уровнях управления – от оперативного до стратегического
Автоматизацию этих задач обеспечивает техническое обеспечение ситуационного центра. Это инфраструктура, включающая как встроенные программно-аппаратные комплексы, так и информационные и коммуникационные технологии, которые позволяют визуализировать и анализировать большие объемы информации и обеспечивают процессы коллективной аналитической обработки оперативных данных.
В качестве программных средств автоматизации обычно применяются классические BI-платформы, позволяющие рассматривать метрики и показатели на разных уровнях детализации и под разными углами, и DSS-системы (Decision Support System) как инструменты искусственного интеллекта и углубленного анализа. Можно выделить несколько типов подобных инструментов.
Самообучающиеся алгоритмы и подсказки. Основная идея заключается в использовании накопленных сведений и их конвертации в опыт. Принцип накопления этого опыта сродни тому, которым пользуется человек, – это метод проб и ошибок. Система опирается на схожие ситуации, встречавшиеся ранее, и их исход. Она выдает оператору набор возможных решений для выбора. Например, если в ходе реагирования на чрезвычайные ситуации в системе фиксируются все действия, которые были произведены (привлечение специальной техники, сбор оперативного штаба, уточнение деталей по дополнительным каналам связи и т.д.), при возникновении чрезвычайной ситуации похожего типа система предложит дежурному перечень этих действий. А если вдобавок будет учитываться их эффективность (выраженная, например, во времени ликвидации или минимизации ущерба), этот перечень будет ранжированным. Система сможет предложить не просто релевантные решения, а решения, эффективность которых наиболее высока.
Математические модели объекта позволяют, используя накопленные исторические данные, формировать модели, с высокой достоверностью отражающие реальный объект. При этом модель также обучается с ростом объема данных. К примеру, перед руководителем субъекта РФ стоит задача выбора приоритетных направлений социально-экономического развития на среднесрочную перспективу. Результат выбора того или иного варианта неизвестен, но можно сформулировать субъективные критерии успеха для каждого из них, а затем, используя отраслевые модели за прошлые периоды или модели схожих субъектов, спрогнозировать, как повлияет на то или иное направление, например, увеличение финансирования (роста каких показателей и в каком объеме следует ожидать, и следует ли в принципе).
Методы математической статистики включают прогнозирование изменения показателей, анализ временных рядов, кластерный анализ, проверку статистических гипотез и т.д. К примеру, операторы ситуационного центра информационной безопасности (SOC) могут использовать анализ временных рядов для исследования входных, выходных и внутренних трафиков информационной системы для раннего обнаружения DDoS-атак. На первый взгляд, базовые характеристики трафика в штатном режиме работы и во время атаки отличаются незначительно. Однако о наличии аномальной активности говорят такие характеристики, как объем используемой оперативной памяти, загруженность процессора, наличие программных и аппаратных прерываний. Эти показатели в совокупности формируют узнаваемый профиль (временной ряд), свидетельствующий о наличии атаки.
Выявление скрытых зависимостей в данных позволяет установить связи между, на первый взгляд, никак не связанными фактами или факторами. Подобные инструменты часто используются для предотвращения фрода. Поскольку для сокрытия незаконных операций злоумышленники часто пытаются разбить их на множество мелких, в большом массиве транзакций их чрезвычайно сложно найти. Алгоритмы поиска аномалий позволяют выявлять подобные операции, оценивать степень риска и вероятный ущерб. Это способствует решению одной из основных задач службы экономической безопасности – борьбы с экономическими преступлениями.
Имитационное и сценарное моделирование дает возможность загружать в систему подменные данные вместо реальных. Это позволяет, к примеру, увидеть, в какую сторону будет развиваться ситуация и насколько быстро. Подобные инструменты хорошо себя зарекомендовали как в задачах прогнозирования, так и при проведении обучения для сотрудников. К примеру, используя связку «ГИС + метеоинформация + ландшафтный профиль», можно спрогнозировать направление разлива воды при наводнениях, распространения ядовитых веществ при авариях на химическом производстве, лесных пожаров и т.д.
Следует также отметить функции коллективной работы в подобных системах. Наличия продвинутых инструментов работы с информацией не всегда достаточно. Необходимы эффективные коммуникации между участниками процесса. Помимо технических средств коммуникации, являющихся неотъемлемой частью любого ситуационного центра, существуют программные решения, которые могут повысить качество и эффективность работы сотрудников. Порталы коллективной работы могут использоваться для мозговых штурмов, совместной работы над документами, контроля и отслеживания задач и поручений. Важно, чтобы сотрудники, вовлеченные в кризисное управление, находились в единой среде, чтобы инструменты были не разрозненными, а интегрированными. Данные и технологии, их обрабатывающие, должны образовывать целостное пространство для комфортной работы, в противном случае информационная система не решит проблем ситуационного центра, а станет проблемой сама.