Нетехнические методы защиты информации: профайлинг на службе ИБ

Нетехнические методы защиты информации: профайлинг на службе ИБ

Российский разработчик ИБ-решений «СёрчИнформ» выпустил в коммерческий релиз анонсированный в конце прошлого года модуль «КИБ СёрчИнформ ProfileCenter». Новый компонент DLP-системы составляет психологический портрет пользователя. Это первая в России попытка автоматизировать профайлинг. Разбираемся, как методы профайлинга помогают решать задачи безопасности.

 

 

 

  1. Введение
  2. Как профайлинг помогает в работе ИБ-службы?
  3. Зачем нужна автоматизация профайлинга?
  4. Как работает «КИБ СёрчИнформ ProfileCenter»?
  5. Как применять расчет модуля в работе ИБ-специалиста?
  6. Выводы

 

Введение

Главная задача специалиста по информационной безопасности — не допустить инцидент. Но как предугадать, кто и когда именно совершит проступок? Часто инсайдер до инцидента — это обычный человек, который четко выполняет свою работу, соблюдает правила и не вызывает подозрений у службы безопасности.

ИБ-профессионалы в один голос заявляют, что главная угроза безопасности — это всегда человек со своим характером, настроением, особенностями и слабостями. Поэтому не полагаются только на технические решения и пользуются нетехническими инструментами, чтобы выявлять потенциальные угрозы. Один из таких инструментов — профайлинг. Это набор приемов, которые позволяют быстро составить психологический портрет и понять, как человек станет действовать в различных обстоятельствах.

Многие ИБ-специалисты — профайлеры «от природы». Они в том или ином виде составляют характеристики на сотрудников, но ориентируются больше на собственный жизненный и профессиональный опыт. Однако и «интуитивный», и научный профайлинг исходят из одной и той же установки. Люди в чем-то похожи, эту похожесть диктует характер, и схожие черты характера дают основу для классификации.

Количество научных подходов к классификации приближается к трем тысячам. Но с точки зрения ИБ не важно, какую типологию используют специалисты и какими терминами оперируют. Принципиально — выяснить стереотипы мышления и поведения и таким образом понять, как человек будет относиться к правилам и нормам информационной безопасности на самом деле.

Проблема профайлинга, основанного на интуиции, заключается в отсутствии четкого алгоритма, по которому составляется психологический портрет, и ясного представления, как получить максимальную пользу от типизации и классификации. Кроме того, нет объективного чек-листа, с которым можно было бы сверять собственные ощущения и интуитивные выводы. Здесь на помощь приходит профайлинг, который опирается на научно-практическую базу.

 

Как профайлинг помогает в работе ИБ-службы?

Вот пример расследования с использованием методов профайлинга из моего опыта.

Руководитель отдела продаж в компании, где я работал, получил во «ВКонтакте» анонимное сообщение с конфиденциальной рабочей информацией и перечислением своих «грехов». Заканчивалось послание требованием уволиться в течение двух недель. В противном случае отправитель угрожал максимально распространить информацию о руководителе, тем самым подорвав его профессиональную репутацию.

Расследование осложнялось тем, что аккаунт отправителя создали только с одной целью и после доставки сообщения с угрозами — «заморозили». Найти шантажиста для нас было важно, так как в послании содержались сведения, составляющие коммерческую тайну.

Проанализировав информацию, мы пришли к выводу, что причастными к инциденту могут быть 28 сотрудников. По уликам, собранным с помощью DLP-системы, и с учетом способа шантажа мы составили психологический портрет нарушителя и сопоставили его с портретами 28 подозреваемых. Портрет совпал с двумя сотрудниками. С каждым из них провели опросную беседу. Один в итоге признался, что действительно причастен к инциденту.

На расследование понадобилось полтора рабочих дня. Вычислить инсайдера в короткий срок помогло то, что мы постоянно пользовались методами профайлинга в работе: составляли и регулярно обновляли профили сотрудников.

Приемы профайлинга помогают анализировать речь, как именно человек выражает мысли и чувства; «прочитать» выражение лица, мимику и жесты, в которых проявляются эмоции; определить тип характера; выявить стратегии мышления и поведения. Результаты диагностики дают возможность определять его склонности и криминальные тенденции в характере.

Вместе с психологическими портретами сотрудников специалист по безопасности получает знания:

  • безопасно или нет давать сотруднику доступ к конфиденциальной информации, финансовым активам и ценным ресурсам компании;
  • на что обращать внимание, чтобы вовремя заметить критичные изменения в линии поведения сотрудника;
  • за кем из сотрудников следить время от времени, а за кем — постоянно или в определенных ситуациях, например, только в период высокой нагрузки;
  • с кем в коллективе сохранять почеркнуто формальные отношения, а с кем, наоборот, наладить дружеские связи;
  • кому из сотрудников достаточно «внушения» и профилактической беседы, а кого следует более строго наказывать за нарушение правил и т. д.

 

Зачем нужна автоматизация профайлинга?

Причин несколько. Первая — время. Профилирование сотрудников специалистом-профайлером отнимает много времени. Одна только опросная беседа в среднем длится от 40 до 60 минут. Чтобы вручную обработать профили 30 пользователей, требуется в среднем 2 дня. Автоматизация работы сокращает время до 10 минут.

Кроме того, людям свойственно меняться, пересматривать убеждения и принципы. Поэтому для получения более точных психологических профилей оценивать сотрудников нужно постоянно, а это значит — регулярно привлекать специалистов и оплачивать их услуги или нанимать в штат. Стоимость составления профиля одного сотрудника на российском рынке варьируется от 5 тысяч рублей за услуги профайлера-новичка до 30 тысяч рублей за услуги специалиста с опытом и репутацией.

Другая причина — расстояние. В одном офисе мы еще можем наблюдать за каждым сотрудником, чтобы видеть, как меняется человек и его поведение. В крупных компаниях, особенно с распределенной сетью филиалов, следить за каждым лично невозможно. Автоматизация дает возможность дистанционной оценки.

Еще одна причина — объективность. Работа профайлера по составлению психологического портрета не лишена на 100% субъективности. Программное же обеспечение анализирует личность по алгоритмам и не выносит «оценочных суждений». Важно, что анализ происходит без тестирования и личных бесед, а значит, ничего не отрывает сотрудников от работы, их поведение остается естественным, а атмосфера в коллективе — спокойной.

 

Как работает «КИБ СёрчИнформ ProfileCenter»?

Автоматизация профайлинга базируется на том, что характер и особенности личности проявляются в речи и письме. DLP-система «Контур информационной безопасности СёрчИнформ» собирает огромное количество текстов, созданных сотрудниками. Для целей профайлинга нужны не деловые, формальные тексты, а более естественные, «живые». В расчетах модуля учитываются исходящие письма, сообщения в мессенджерах и рабочих чатах. Все это каналы, по которым пользователи общаются в более расслабленном тоне, даже когда обсуждают рабочие вопросы.

В модуле есть возможность настроить список каналов, содержимое которых используется для составления характеристики. Это зависит от того, какими каналами чаще пользуются сотрудники и где больше пишут. Для точного анализа ProfileCenter требуется минимум 30 тысяч базовых единиц текста. Чем дольше DLP-система накапливает переписку, тем более развернутые психологические портреты и верные заключения выдает ProfileCenter.

ProfileCenter вычисляет тип личности и структуру мышления на основании оценки текста по более чем 70 критериям. Это позволяет выявить доминирующие черты характера, базовые эмоции, сильные и слабые стороны личности. Модуль определяет, как человек относится к тому, что происходит вокруг, в чем его истинные цели и намерения. Расчет показывает уровень амбиций и лояльности, помогает установить роль в коллективе и степень влияния на коллег. Результаты анализа отображаются в отчете с пояснениями и рекомендациями.

 

Рисунок 1. Психологический профиль личности в «КИБ СёрчИнформ ProfileCenter»

Психологический профиль личности в «КИБ СёрчИнформ ProfileCenter»

 

Как применять расчет модуля в работе ИБ-специалиста?

В «КИБ СёрчИнформ ProfileCenter» нет волшебной кнопки «Найти инсайдера». Задача модуля — указать на потенциальный риск, составить прогноз поведения человека в нормальных, критических и стрессовых обстоятельствах.

ИБ-специалист самостоятельно выбирает стратегию, ориентируясь не только на психологический профиль пользователя, но и на контекст, на информацию, полученную из разных источников, включая остальные модули DLP-системы и другие решения.

Вот как это работает на примере компании, одной из первых протестировавшей модуль.

Мнения HR-службы и ИБ-отдела по поводу соискателя разошлись еще на этапе собеседования. Специалисты по безопасности выступили против. Кандидат проявлял некоторую агрессивность и путался в деталях, отвечая на вопросы о предыдущем месте работы и прошлом опыте. Неоднозначным было и собранное службой безопасности «досье». И все же непосредственный руководитель и специалист по кадрам настояли, чтобы взять сотрудника с испытательным сроком.

Два месяца система анализировала переписку новичка и составляла профиль. Среди базовых ценностей и качеств личности, по оценке ProfileCenter, выделялись показатели агрессивности и лживости, а значимость личных интересов над интересами компании фактически «зашкаливала». Подобный психологический портрет не вписался в представление руководства о старшем финансовом консультанте. Отчет модуля ProfileCenter наряду с другими замечаниями послужил аргументом, чтобы расстаться с сотрудником по истечении испытательного срока.

Таким образом, сочетая различные методы — сбор информации из открытых источников, опросную беседу и расчет автоматизированного модуля — служба безопасности провела комплексную оценку и предоставила обоснованный прогноз рисков, связанных с конкретным сотрудником.

 

Выводы

Мы в «СёрчИнформ» полагаем, что для работы с модулем «КИБ СёрчИнформ ProfileCenter» не потребуется специальных навыков, поскольку составляли описательную часть профилей в расчете на неспециалистов и каждый блок снабдили пояснениями. И все же для более точной интерпретации расчетов модуля не помешает получить базовые представления о профайлинге.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru