Персонал компании: защищать или защищаться?

Мария Воронова, руководитель направления консалтинга, ведущий эксперт по ИБ InfoWatch, эксперт BISA

Нередко подразделения ИБ недооценивают внутренние угрозы, исходящие от персонала компаний. Сведения о том, каковы психологическое состояние сотрудников, их цели, приоритеты, материальное положение, здоровье, семья и пр., как правило, остаются за кадром. А ведь от всего этого во многом зависит деятельность и информационная безопасность предприятий.

Поглядим, как все побегают

Отсутствие организованных на постоянной основе превентивных действий в отношении сотрудников собственной организации – это серьезная проблема служб ИБ. Считается, что сбор таких данных означает вмешательство в личную жизнь. Но вспомним, как три года назад юрист московской фармацевтической компании расстрелял в ее офисе семь человек. Позже удалось выяснить, что незадолго до убийства он заявил на Интернет-форуме о ненависти, не более и не менее, ко всему человечеству, и что его бросила девушка, сотрудница той же компании. Если бы служба безопасности заранее знала об этих фактах и психологическом состоянии сотрудника, то, может быть, трагедию удалось бы предотвратить.

Подобных историй – множество. Например, обиженный партнер юридической фирмы забирает важнейшие наработки по клиентам, уводит лучших сотрудников и открывает собственное дело. Или, скажем, ИТ-администратор шутит в корпоративных мессенджерах о том, что было бы занятно полностью уничтожить данные в системе и поглядеть, как все побегают, а несколькими неделями позже именно так и происходит…

Что же должны делать службы ИБ? Только реагировать на инциденты? А может, исследовать, разведывать и предотвращать угрозы (т.е. заниматься внутренней контрразведкой) – вполне реально, и это является лишь вопросом правильной организации процессов ИБ-служб и применяемых ими технологий?

Друзья, жены, злые тещи…

Рассуждая о поведенческом анализе и возможностях контрразведки внутренних угроз, нужно учитывать множество психологических тонкостей, которые зачастую становятся причинами весьма серьезных последствий для ИБ. Например, было бы вполне логично полагать: чем более высокий статус в компании имеет сотрудник, чем больше у него полномочий, чем больше конфиденциальной информации ему доступно в рамках должностных обязанностей, тем серьезнее должны быть требования, предъявляемые к нему с точки зрения ИБ. Однако на практике происходит с точностью до наоборот: чем выше занимаемая должность и уровень доступа к секретам компании, тем больше сотрудник хочет свободы в обращении с информацией. И это обуславливает некоторые особенности работы самой организации и ее безопасников.

В каждой компании складываются своя система ценностей и формируется некая миссия. Миссия определяет деятельность предприятия, ее выполняет персонал, а у персонала всегда есть личная жизнь, которая сильно влияет на качество работы. Если очень хороший сотрудник после работы встретится в баре с друзьями, то на следующий день он будет уставшим, невнимательным и может наделать ошибок. Если же у человека – проблемы дома, они сильно влияют на его работоспособность, креативность, цели и приоритеты.

В каждой компании складываются своя система ценностей и формируется некая миссия. Миссия определяет деятельность предприятия, ее выполняет персонал, а у персонала всегда есть личная жизнь, которая сильно влияет на качество работы. Если очень хороший сотрудник после работы встретится в баре с друзьями, то на следующий день он будет уставшим, невнимательным и может наделать ошибок. Если же у человека – проблемы дома, они сильно влияют на его работоспособность, креативность, цели и приоритеты.

Внутренние категории

При обеспечении ИБ и выстраивании модели угроз нужно учитывать и то, к каким внутренним «категориям» относятся те или иные сотрудники, а соответственно, какое влияние они оказывают на компанию. Представители каждой из категорий могут по-своему воздействовать на предприятие, приносить пользу или вред, а значит, от них могут исходить абсолютно разные угрозы.

В любой организации имеется категория носителей ее секретов и ноу-хау – того, что называют «коммерческой тайной». Другая категория – сотрудники, которые знают продуктовую стратегию, маркетинговые секреты и планы развития. Понятно, что представители этих двух категорий могут по злому умыслу или случайно раскрыть, украсть, передать заинтересованным лицам и т.п. важную информацию. Еще одна особая категория – «держатели инфраструктуры» (ИТ-специалисты и привилегированные пользователи). Эти люди способны разрушить систему, негативно повлиять на ее целостность и доступность.

Основная категория (большинство) сотрудников – просто те, кто допущен к работе. Они имеют стандартные права доступа к стандартным системам, обусловленные их должностными обязанностями. Для них тоже требуется выстраивать определенные системы контроля на основе выработанной модели угроз. Наконец, при выстраивании модели угроз, определении принципов работы с персоналом нужно не забывать об обслуживающем персонале. Представители этой категории физически находятся на территории компании, имеют доступ во все или многие помещения, а следовательно, и доступ к секретам, технологиям, инфраструктуре и сотрудникам.

Звоночки для служб ИБ

Работа служб ИБ с отдельными категориями подразумевает учет всевозможных ценностей каждого из сотрудников, которые могут влиять на его отношение к выполняемой работе, коллегам, а также обуславливать приносимые им вред или пользу для компании.

Так, одним из важнейших факторов, влияющих на эффективность деятельности сотрудников, является наличие у них второй работы, заработков на стороне или просто «посторонних» интересов. Необходимо четко понимать, каковы истинные ценности сотрудника, как он относится к своей непосредственной деятельности, не работает ли на конкурентов, не считает ли работу в данной компании менее важной, чем в другом месте, да и просто – хватает ли у него на все это сил.

Следующее, на что обязательно следует обратить внимание, – наличие у сотрудника какого-либо хобби и характер такого увлечения. Если у него имеется хобби, то, скорее всего, есть и соответствующий круг общения, в том числе в Instagram и других социальных сетях. А значит, не исключена отправка «удачных» фотографий, в том числе сделанных с рабочего места.

Да и вообще наличие любого хобби – это звоночек для служб безопасности, возможность на чем-то сфокусировать внимание. Например, дорогостоящее хобби сотрудника с невысокой зарплатой – повод задуматься об источниках финансирования его увлечения. Если работник всерьез занимается охотой, снова звенит звоночек: есть ли у него дома оружие, какое, как он его хранит, имеет ли все необходимые разрешения и справки, насколько адекватен и не может ли, появившись в офисе в состоянии стресса, всех перестрелять?

Кроме того, практически в любом коллективе имеются неформальные лидеры, которые так или иначе влияют на настроения и ценности сотрудников. И, естественно, службы ИБ не должны обходить их вниманием. Наконец, следует присматриваться к новым работникам, являющимся «темными лошадками» для коллектива.

Серая зона

Вопрос о том, защищать ли внутренний персонал или от него защищаться, в сущности, похож на пресловутый вопрос ребенку: «Кого ты больше любишь, маму или папу?». Конечно, и защищать, и защищаться!

В первую очередь, службе информационной безопасности необходимо сформировать набор признаков, позволяющих четко определять, что же внутри корпоративного рабочего периметра стоит контролировать, на что обращать внимание. А далее следует создавать определенные механизмы контроля и отслеживать эти признаки, в том числе в автоматизированном режиме.

После первого же инцидента, связанного с внутренними угрозами, в компании начинает нарабатываться практика их предотвращения. Нужно учиться мониторить действия персонала, понимать их и адекватно реагировать. Инциденты никогда не происходят «вдруг», им предшествует некая цепочка событий, каждое из которых может ни на что не указывать (произошел какой-то сбой, возникла какая-то непонятная коммуникация, какой-то сотрудник пришел на работу в плохом настроении). Однако при комплексном рассмотрении все эти события могут составить весьма информативную картину, в том числе указать на возможность инцидента.

В современной сфере ИБ очень популярно направление threat intelligence. А есть ли что-то похожее, только предназначенное для контроля над внутренними угрозами? Да, на рынке уже появились решения, которые дают возможность выделять и контролировать техническую «человеческую» информацию (генерируемую персоналом во внутренних системах), тактическую информацию о текущем поведении и ситуациях, стратегическую информацию. Другими словами, анализировать в динамике big data, генерируемые внутренними сотрудниками, а не системами.

Таким образом, современные средства мониторинга внутренних угроз позволили взять под контроль «серую зону», которая прежде, как правило, оставалась незамеченной. Речь идет о непонятных связях внутри компании и их анализе, о нестандартных действиях сотрудников в системах и сервисах, о не совсем типичном времени использования этих сервисов и ресурсов, о нелогичных событиях и возможности повторения уже произошедших инцидентов и т.п.

Использование таких решений станет существенным подспорьем для корпоративных служб ИБ, но крайне важно и другое – делиться с коллегами по отрасли собственной наработанной практикой. Это позволит организовывать что-то вроде «CERT’ов», ориентированных «вовнутрь» организаций, целью которых станет практика предотвращения внутренних угроз, а в случае их реализации – соответствующего реагирования. Наконец, с помощью средств защиты, контроля и программ повышения осведомленности нужно создать в компании такие условия, в которых ей уже не придется защищаться от собственного персонала.

Тэги: 

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.