Российский разработчик ИБ-решений «СёрчИнформ» выпустил в коммерческий релиз анонсированный в конце прошлого года модуль «КИБ СёрчИнформ ProfileCenter». Новый компонент DLP-системы составляет психологический портрет пользователя. Это первая в России попытка автоматизировать профайлинг. Разбираемся, как методы профайлинга помогают решать задачи безопасности.
- Введение
- Как профайлинг помогает в работе ИБ-службы?
- Зачем нужна автоматизация профайлинга?
- Как работает «КИБ СёрчИнформ ProfileCenter»?
- Как применять расчет модуля в работе ИБ-специалиста?
- Выводы
Введение
Главная задача специалиста по информационной безопасности — не допустить инцидент. Но как предугадать, кто и когда именно совершит проступок? Часто инсайдер до инцидента — это обычный человек, который четко выполняет свою работу, соблюдает правила и не вызывает подозрений у службы безопасности.
ИБ-профессионалы в один голос заявляют, что главная угроза безопасности — это всегда человек со своим характером, настроением, особенностями и слабостями. Поэтому не полагаются только на технические решения и пользуются нетехническими инструментами, чтобы выявлять потенциальные угрозы. Один из таких инструментов — профайлинг. Это набор приемов, которые позволяют быстро составить психологический портрет и понять, как человек станет действовать в различных обстоятельствах.
Многие ИБ-специалисты — профайлеры «от природы». Они в том или ином виде составляют характеристики на сотрудников, но ориентируются больше на собственный жизненный и профессиональный опыт. Однако и «интуитивный», и научный профайлинг исходят из одной и той же установки. Люди в чем-то похожи, эту похожесть диктует характер, и схожие черты характера дают основу для классификации.
Количество научных подходов к классификации приближается к трем тысячам. Но с точки зрения ИБ не важно, какую типологию используют специалисты и какими терминами оперируют. Принципиально — выяснить стереотипы мышления и поведения и таким образом понять, как человек будет относиться к правилам и нормам информационной безопасности на самом деле.
Проблема профайлинга, основанного на интуиции, заключается в отсутствии четкого алгоритма, по которому составляется психологический портрет, и ясного представления, как получить максимальную пользу от типизации и классификации. Кроме того, нет объективного чек-листа, с которым можно было бы сверять собственные ощущения и интуитивные выводы. Здесь на помощь приходит профайлинг, который опирается на научно-практическую базу.
Как профайлинг помогает в работе ИБ-службы?
Вот пример расследования с использованием методов профайлинга из моего опыта.
Руководитель отдела продаж в компании, где я работал, получил во «ВКонтакте» анонимное сообщение с конфиденциальной рабочей информацией и перечислением своих «грехов». Заканчивалось послание требованием уволиться в течение двух недель. В противном случае отправитель угрожал максимально распространить информацию о руководителе, тем самым подорвав его профессиональную репутацию.
Расследование осложнялось тем, что аккаунт отправителя создали только с одной целью и после доставки сообщения с угрозами — «заморозили». Найти шантажиста для нас было важно, так как в послании содержались сведения, составляющие коммерческую тайну.
Проанализировав информацию, мы пришли к выводу, что причастными к инциденту могут быть 28 сотрудников. По уликам, собранным с помощью DLP-системы, и с учетом способа шантажа мы составили психологический портрет нарушителя и сопоставили его с портретами 28 подозреваемых. Портрет совпал с двумя сотрудниками. С каждым из них провели опросную беседу. Один в итоге признался, что действительно причастен к инциденту.
На расследование понадобилось полтора рабочих дня. Вычислить инсайдера в короткий срок помогло то, что мы постоянно пользовались методами профайлинга в работе: составляли и регулярно обновляли профили сотрудников.
Приемы профайлинга помогают анализировать речь, как именно человек выражает мысли и чувства; «прочитать» выражение лица, мимику и жесты, в которых проявляются эмоции; определить тип характера; выявить стратегии мышления и поведения. Результаты диагностики дают возможность определять его склонности и криминальные тенденции в характере.
Вместе с психологическими портретами сотрудников специалист по безопасности получает знания:
- безопасно или нет давать сотруднику доступ к конфиденциальной информации, финансовым активам и ценным ресурсам компании;
- на что обращать внимание, чтобы вовремя заметить критичные изменения в линии поведения сотрудника;
- за кем из сотрудников следить время от времени, а за кем — постоянно или в определенных ситуациях, например, только в период высокой нагрузки;
- с кем в коллективе сохранять почеркнуто формальные отношения, а с кем, наоборот, наладить дружеские связи;
- кому из сотрудников достаточно «внушения» и профилактической беседы, а кого следует более строго наказывать за нарушение правил и т. д.
Зачем нужна автоматизация профайлинга?
Причин несколько. Первая — время. Профилирование сотрудников специалистом-профайлером отнимает много времени. Одна только опросная беседа в среднем длится от 40 до 60 минут. Чтобы вручную обработать профили 30 пользователей, требуется в среднем 2 дня. Автоматизация работы сокращает время до 10 минут.
Кроме того, людям свойственно меняться, пересматривать убеждения и принципы. Поэтому для получения более точных психологических профилей оценивать сотрудников нужно постоянно, а это значит — регулярно привлекать специалистов и оплачивать их услуги или нанимать в штат. Стоимость составления профиля одного сотрудника на российском рынке варьируется от 5 тысяч рублей за услуги профайлера-новичка до 30 тысяч рублей за услуги специалиста с опытом и репутацией.
Другая причина — расстояние. В одном офисе мы еще можем наблюдать за каждым сотрудником, чтобы видеть, как меняется человек и его поведение. В крупных компаниях, особенно с распределенной сетью филиалов, следить за каждым лично невозможно. Автоматизация дает возможность дистанционной оценки.
Еще одна причина — объективность. Работа профайлера по составлению психологического портрета не лишена на 100% субъективности. Программное же обеспечение анализирует личность по алгоритмам и не выносит «оценочных суждений». Важно, что анализ происходит без тестирования и личных бесед, а значит, ничего не отрывает сотрудников от работы, их поведение остается естественным, а атмосфера в коллективе — спокойной.
Как работает «КИБ СёрчИнформ ProfileCenter»?
Автоматизация профайлинга базируется на том, что характер и особенности личности проявляются в речи и письме. DLP-система «Контур информационной безопасности СёрчИнформ» собирает огромное количество текстов, созданных сотрудниками. Для целей профайлинга нужны не деловые, формальные тексты, а более естественные, «живые». В расчетах модуля учитываются исходящие письма, сообщения в мессенджерах и рабочих чатах. Все это каналы, по которым пользователи общаются в более расслабленном тоне, даже когда обсуждают рабочие вопросы.
В модуле есть возможность настроить список каналов, содержимое которых используется для составления характеристики. Это зависит от того, какими каналами чаще пользуются сотрудники и где больше пишут. Для точного анализа ProfileCenter требуется минимум 30 тысяч базовых единиц текста. Чем дольше DLP-система накапливает переписку, тем более развернутые психологические портреты и верные заключения выдает ProfileCenter.
ProfileCenter вычисляет тип личности и структуру мышления на основании оценки текста по более чем 70 критериям. Это позволяет выявить доминирующие черты характера, базовые эмоции, сильные и слабые стороны личности. Модуль определяет, как человек относится к тому, что происходит вокруг, в чем его истинные цели и намерения. Расчет показывает уровень амбиций и лояльности, помогает установить роль в коллективе и степень влияния на коллег. Результаты анализа отображаются в отчете с пояснениями и рекомендациями.
Рисунок 1. Психологический профиль личности в «КИБ СёрчИнформ ProfileCenter»
Как применять расчет модуля в работе ИБ-специалиста?
В «КИБ СёрчИнформ ProfileCenter» нет волшебной кнопки «Найти инсайдера». Задача модуля — указать на потенциальный риск, составить прогноз поведения человека в нормальных, критических и стрессовых обстоятельствах.
ИБ-специалист самостоятельно выбирает стратегию, ориентируясь не только на психологический профиль пользователя, но и на контекст, на информацию, полученную из разных источников, включая остальные модули DLP-системы и другие решения.
Вот как это работает на примере компании, одной из первых протестировавшей модуль.
Мнения HR-службы и ИБ-отдела по поводу соискателя разошлись еще на этапе собеседования. Специалисты по безопасности выступили против. Кандидат проявлял некоторую агрессивность и путался в деталях, отвечая на вопросы о предыдущем месте работы и прошлом опыте. Неоднозначным было и собранное службой безопасности «досье». И все же непосредственный руководитель и специалист по кадрам настояли, чтобы взять сотрудника с испытательным сроком.
Два месяца система анализировала переписку новичка и составляла профиль. Среди базовых ценностей и качеств личности, по оценке ProfileCenter, выделялись показатели агрессивности и лживости, а значимость личных интересов над интересами компании фактически «зашкаливала». Подобный психологический портрет не вписался в представление руководства о старшем финансовом консультанте. Отчет модуля ProfileCenter наряду с другими замечаниями послужил аргументом, чтобы расстаться с сотрудником по истечении испытательного срока.
Таким образом, сочетая различные методы — сбор информации из открытых источников, опросную беседу и расчет автоматизированного модуля — служба безопасности провела комплексную оценку и предоставила обоснованный прогноз рисков, связанных с конкретным сотрудником.
Выводы
Мы в «СёрчИнформ» полагаем, что для работы с модулем «КИБ СёрчИнформ ProfileCenter» не потребуется специальных навыков, поскольку составляли описательную часть профилей в расчете на неспециалистов и каждый блок снабдили пояснениями. И все же для более точной интерпретации расчетов модуля не помешает получить базовые представления о профайлинге.
