Утечки информации сегодня – это серьезная угроза для бизнеса, и защита от них – одно из условий успешного функционирования практически любой организации. Однако выявление тех, кто является виновником утечек информации, – задача не всегда легко реализуемая. Гораздо проще найти любителей «слить» информацию, если знать, каков типичный психологический портрет такого человека.
Инсайдерами принято называть сотрудников, распространяющих конфиденциальную корпоративную информацию за пределами организации, в которой они работают. Не будем останавливаться на том, чем распространение подобной информации может навредить компании, поскольку это весьма обширная тема. Вместо этого рассмотрим, что именно побуждает сотрудников «делиться» данными с окружающим миром и какие цели они при этом преследуют.
Откуда берутся инсайдеры?
Инсайдерами не рождаются, инсайдерами становятся. Причем становятся ими, как принято говорить, не от хорошей жизни. И если неожиданно обнаружилось, что в вашей организации завелся инсайдер, следует, в первую очередь, присмотреться к тем, кому может быть выгодна утечка информации в силу каких-то личных мотивов. Наиболее распространенных мотива два: личная выгода и месть работодателю. Хотя, конечно, есть и другие мотивы – но их скорее можно считать исключениями, нежели правилами.
Таким образом, главная черта инсайдера – это сильная заинтересованность в том, чтобы конфиденциальная информация проникла за пределы организации. Зачастую для того, чтобы найти виноватого, достаточно найти того, кто в недавнем времени получил какое-то взыскание, не получил обещанного повышения, не смогу уйти в отпуск тогда, когда ему хотелось и т.д.
Специалисты по безопасности также рекомендуют в первую очередь присмотреться к тем, кто пользуется доверием у руководства и у рядовых сотрудников компании – очень часто подобное доверие служит отличным прикрытием для того, чтобы получить доступ к документам, к которым инсайдер не имеет доступа по роду своих служебных обязанностей.
Впрочем, зачастую работники допускают систематические утечки информации не из-за того, что хотят заработать на данных, принадлежащих своему работодателю или отомстить ему. Нередко в инсайдерстве среди сотрудников виноваты, как то ни странно, «безопасники», которые недостаточно подробно и ясно изложили принимаемому на работу специалисту суть корпоративной политики информационной безопасности. К примеру, нередка ситуация, когда сотрудник хочет взять какие-то важные документы с собой, чтобы поработать с ними дома. При этом пересылка таких документов по электронной почте, размещение на файлообменных сервисах или даже просто переписывание на «флэшку» закономерно расценивается специалистами по информационной безопасности как попытка организовать утечку информации, со всеми вытекающими отсюда последствиями.
Типы инсайдеров
Конечно, инсайдером может оказаться любой сотрудник – и 20-летний системный администратор, и 50-летняя сотрудница бухгалтерии. Однако исследования немецкой компании Result Group говорят о том, что все-таки наиболее часто инсайдерами становятся как раз мужчины. Наиболее типичный инсайдер – это мужчина в возрасте от 30 до 50 лет с высшим образованием, хорошо разбирающийся в информационных технологиях. Впрочем, поскольку сегодня большая часть офисных работников так или иначе работает с компьютером, практически каждому из них при благоприятных обстоятельствах хватит уровня технической подготовки для того, чтобы «слить» информацию.
Психологи давно выделили несколько основных типов сотрудников, которые готовы «слить» не принадлежащую им информацию. Пронаблюдав за членами вашего рабочего коллектива, вы наверняка узнаете некоторых из них – а, возможно, даже и всех сразу.
Наиболее распространенный тип – это «Буратино». Такой человек действует в большей степени из любопытства нежели из корыстных побуждений, и навредить может скорее из-за своей неосторожности и неумения держать язык за зубами, чем из-за желания обогатиться или кого-то подставить. К этому типу может принадлежать сотрудник любого ранга и любой компетенции, однако корпоративные политики информационной безопасности могут успешно противодействовать таким личностям.
Как уже говорилось выше, один из самых серьезных стимулов для инсайдера – это желание отомстить. Поэтому следующий по распространенности психологический тип инсайдера ‑ «неуловимый мститель». К этому типу чаще всего относятся люди, которые мстят фирме распространением инсайдерской информации за свое увольнение. Как показали исследования, проведенные компанией SearchInform, 49,5% всех уволенных работников готовы передать конфиденциальную информацию, к которой имели доступ на своей прошлой работе, новому работодателю. Это действительно серьезная проблема, однако ее можно решить, постепенно ограничивая доступ работника, которого планируется уволить, к конфиденциальным корпоративным данным. Таким образом, можно достичь того, чтобы к моменту увольнения та информация, которой он владеет, была уже неактуальной.
Тип инсайдера, который руководствуется не столько чувством мести, сколько какими-то корыстными или, в очень редких случаях, идейными мотивами, называется «Павлик Морозов». Как правило, этот человек использует для добычи информации и людей, и компьютеры, а пути добычи сведений, в основном, легальны. Информация, которую он собирает, во многих случаях может со стороны показаться нужной ему для работы – именно поэтому данный тип инсайдера особенно опасен. Специалисты по информационной безопасности должны тщательно контролировать сотрудников, которые проявляют служебное рвение, стремясь получить повышение, заработать деньги за счет бонусов и т.д. Многие из этих людей не смогут устоять перед соблазном легкого заработка или высокой должности в конкурирующей компании, которые становятся возможными благодаря украденной им информации.
Наиболее опасный тип инсайдера – это «серый кардинал». Так психологи называют высокопоставленных инсайдеров, имеющих доступ к очень широкому спектру документов. Мотивы, которые им движут, весьма разнообразны, однако наиболее часто такие инсайдеры используют свое положение и доступную им информацию для устранения своих конкурентов и продвижения по карьерной лестнице на все более и более высокие позиции. К сожалению, нередко в компаниях действуют политики, позволяющие руководящему составу организации действовать фактически безо всякого контроля со стороны отдела безопасности, а потому противостоять «серому кардиналу», даже если его удастся выявить, очень и очень непросто.
Инсайдеры и социальная инженерия
Говоря об инсайдерстве, нельзя обойти вниманием вопрос использования приемов социальной инженерии. Зачастую именно их применение выдает замыслы инсайдера – и поэтому очень важно вовремя заметить и распознать случаи применения таких приемов.
«Классические инсайдеры – действительно технически грамотные люди, поскольку для того, чтобы получить доступ к информации, имеющей значение для компании, нужно иметь представление о том, как эта информация защищается от тех работников, которые не должны ее видеть, ‑ считает Сергей Ожегов, генеральный директор компании «Новые поисковые технологии», специализирующейся в области информационной безопасности. – Но сегодня совсем не обязательно быть настоящим хакером для того, чтобы украсть из компании конфиденциальные документы. На первый план выходят приемы так называемой социальной инженерии, против которых бессильны пароли и схемы контроля доступа».
Для использования приемов социальной инженерии по отношению к конкретным сотрудникам инсайдеру необходима некоторая предварительная подготовка, которая позволит ему в дальнейшем сблизиться со своей будущей жертвой. Для этого ему нужна достаточно подробная информация об интересующем его обладателе доступа к конфиденциальным данным – включая информацию о семье, о предыдущих местах работы, об образовании… Проявление интереса ко всем подобным сведениям может быть свидетельством готовящейся утечки информации из организации тем работником, который подобный интерес проявляет.
Не стоит забывать и о таких средствах, близких к социальной инженерии, как банальные кейлоггеры, которые дадут злоумышленнику информацию о логинах и паролях, используемых работниками, имеющими доступ к конфиденциальной информации. Для предотвращения подобного рода ухищрений со стороны инсайдеров необходимо применять качественное антивирусное программное обеспечение, которое будет противодействовать работе кейлоггеров на пользовательских рабочих станциях.
Психология на службе безопасности
Если в вашей организации есть штатные психологи, возможно, руководство даст санкцию на привлечение их к составлению списка лиц, наиболее склонных к инсайдерской деятельности – если, конечно, в достаточно убедительной форме объяснить, для чего это нужно. Подобный список позволит установить контроль за теми, кто, наиболее вероятно, окажется в будущем виновником утечки информации, а, значит, и сэкономит затраты на безопасность, позволив грамотно распределить усилия специалистов между мониторингом действий условно надежных и условно ненадежных сотрудников.
Для более успешного составления психологического портрета каждого из сотрудников целесообразно открыть психологам доступ к переписке сотрудников, которые собираются корпоративными системами защиты от утечек данных (DLP-системами). Некоторые системы позволяют вести архив всей перехваченной информации, предоставляя тем самым чрезвычайно богатый материал для любого психолога.
При этом не нужно бояться того, что на анализ информации потребуется слишком много времени – в конечном счете, это мероприятие окупится улучшением работы службы информационной безопасности и снижением рисков утечки информации.
Вадим Станкевич, специально для Executive.ru
Фото: pixabay.com
Позволю себе небольшое дополнение. К перечисленным авторам причинам, побуждающим людей в той или иной степени заниматься сбором и обеспечением нелегальной циркуляции инсайдероской информации, можно добавить еще пять весьма часто встречающихся оснований:
1. Шантаж личного характера. Данное основание представляет собой принуждение человека материальным и нематериальным образом к передаче информации заинтересованным лицам. Материальная форма шантажа основывается на необходимости возврата работающим в компании лицом крупной суммы денег (например, за карточный проигрыш) или компенсации затрат за некий материальный объект, причем подстраивается обычно это специально, а кандидат на получение инсайдерской информации выбирается заранее. Нематериальная форма шантажа основывается на игре на человеческих слабостях, - например, шантажируемое лицо относится к так называемой ''непрофильной'' половой ориентации, имеет любовные связи на стороне, имеет некие привычки, которые не поощряются в корпоративной среде или просто являются вредными, и т.д. Имея перед собой угрозу разоблачения или публичного обнародования сугубо личной информации, относящейся к т.н. ''позорной'', такие лица оказываются не только прекрасной мишенью для заинтересованных в инсайдерской информации сторон, но и часто выступают инициативниками. Как в случае материального, так и нематериального шантажа, - хотя кому-то личная инициатива в подобном случае и может показаться чем-то вынужденным и нереальным.
2. Смена месты работы. С этим представители организаций сталкиваются практически всегда, когда некий сотрудник уходит на другое место работы в другую организацию. Он не только по своей собственной инициативе ''сливает'' весь доступный ему информационный массив и различные наработки ''на всякий случай'', чтобы использовать их в своей работе в дальнейшем, но и делает это, как правило, заранее, уже начиная поиск работы, а завершая данный процесс при окончательном согласии на получение нового места в новой организации, - зачастую будучи даже специально мотивированным руководством той организации в краже и переносе чужих данных.
3. Коммерческий шпионаж в пользу заграницы. Весьма условный в части определения термин, обозначающий широкую категорию лиц, тем или иным образом связанных или проходивших обучение в различных западных бизнес-сообществах, центрах, сетевых организациях, союзах и т.д., проходящих вначале стажировки, а затем и часто устраивающихся на работу в те организации, в которых стажировались по протекции данных центров. Следует помнить, что подготовленные по ''западным методикам'' с ''промытыми мозгами'' сравнительно молодые по возрасту специалисты в первую очередь сохраняют лояльность таким бизнес-сообществам и ассоциациям, давшим им подобие тренинга или образования и пристроивших на работу, и только затем - организациям, в которых они работают. Рассматривая свой ''долг'' перед сообществом выше, чем долг перед организацией, в которой работают. В частности, этим хорошо грешат пресловутые местнопредставленные ''эссеки''.
Т.е. попадая на стажировку в некую организацию, такой стажер в первую очередь ведет все возможные записи о том, что в ней происходит. Собственно, для чего их специально натаскивают. На сбор информации. Передавая их своим кураторам в виде отчетов в местное представительство рекомендовавшего его бизнес-сообщества, союза или ассоциации. Где полученные данные обрабатывают и передаются за рубеж в аналитический центр, координирующий сбор и обработку информации по различным бизнес-случаям, ситуациям, компаниям, взаимодействиям и соотнесению в рабоет различных бизнес-структур. Проводящий оценку бизнеса компании и формирующие некий пакет рекомендаций, который позволит улучшить ее работу. В том числе и с копдключением для этих целей афиллированных лиц и компаний, якобы выходящих в контакт с организацией через данного стажера. Получив такие рекомендации, переданыне его патрону (например, в Москву), стажер начинает бомбардировать ими руководство организации в виде конкретных дельных предложений. Не подойдет одно - попробует другое. Не подойдет то - попробует это и т.д., - набор рекомендаций обычно достаточно велик. Если стажер достаточно настойчив, то какие-то из них принимаются и даже начинают приносить организации реальную отдачу. Тем более, если все идет по специально наведенным связям. Как результат, перспективный стажер очень быстро становится ключевым сотрудникм с максимальным пакетом доверия, в результате чего вся доступная ему информация потенциально может быть переправлена в пользу российских, а затем и заокеанских кураторов. При этом, организация со временем оказывается плотно ''подсаженной на крючок'' кураторских рекомендаций и теряет самостоятельности в выборе бизнеса и направлений его развития, а также развития собственных сотруктур. Не говоря уже о возможности уничтожения бизнеса в том случае, когда это необходимо.
Т.е. налицо простая, но эффективная схема коммерческого шпионажа с привлечением, циркуляцией и изъятием инсайдерской информации. Основанная опять-таки, на личной заинтересованности задействованного лица. Мораль - не берите себе в организацию стажеров, прошедших обучение или натасканных в различных западных ''менеджерских'' и ''учебных'' организациях. Это - первый контингент на сброс инсайдерской информации и угроза вашему бизнесу.
4. Контроль сверху. Данная форма сбора и передачи инсайдерской информации осуществляется практически во всех российских организациях специмально подобранными сотрудниками, не афиширующими свою деятельность, которые осуществляют такую деятельность в пользу гласных или негласных лиц, осуществляющих контроль над данной организацией, ее бизнесом, руководством и т.д. Подобная информация необходима для скрытого проверочного контроля за всем тем, что происходит внутри организации. И осуществляется также сугубо добровольным образом. Причем, осуществляющие ее сотрудники имеют сугубо личную мотивацию преуспеть на этом поприще.
5. Престиж в чужих глазах. Не секрет, что большое число людей, - в особенности из числа молодых ''да ранних'' сотрудников, - очень амбициозно и стремится показать и рассказать о себе больше, чем они есть на самом деле. Как результат, на различных вечеринках, встречах с друзьями, в клубах, барах, в боулинг-центрах и т.д. за приятным разговором и вторым бокалом пива они в состоянии рассказывать всё, что знают, и что не знают. При этом, заинтересованные в информации лица просто направляют их в нужном русле, используя классические схемы и приемы, - например, общение с эффектными и ''подкованными'' в бизнесе женщинами, на фоне которых ''просто стыдно казаться тем, кто ты есть'', и т.д. При этом, опытным специалистам бывает достаточно даже крупци информации ,чтобы понять, что в данный момент происходит в организации и на каком уровне.
В дополнение к сказанному, комментируя статью, можно лишь добавить, что роль психологов по вопросу выявления инсайдеров должна начинаться не тогда, когда подобные люди уже работают в организации, а тогда, когда они еще только принимаются в нее на роаботу. Что отследить гораздо проще чем тогда, когда они уже приняты и работают. Т.е. проще не принимать потенциально проблемного человека на работу вообще, чем потом с ним бороться.
Также следует помнить, что любой ''разбор полетов'' на тему инсайдерской деятельности осуществляется только по факту ввявления такой деятельности. службой безопасности или как-то иначе. Но всегда должен иметь место конкретный подтвержденный факт. В отношении конкретного человека. И только тогда, при его наличии, к делу могут подключаться психологи. Если в этом еще возникнет необходимость. Поскольку с первого раза не всегда удается выявить круг всех подозреваемых и задействованных лиц. Т.к. очень часто инсайдерские схемы носят групповой характер.
И главное. Психологи и HR-специалисты очень мстительны и имеют влияние в организации. Поэтому для них не составит труда обвинить и убедить кого угодно в чем угодно или подтвердить это. Тем более, - в отработке инсайдерской информации и коммерческом шпионаже. И подозреваемый человек ничем не сможет доказать обратного. Тем более, если заказ поступает из службы безопасности. В таком случае человек фактически уже приговорен к уходу или последствиям. Это следует помнить. И никогда не доверять психологам ''приговаривать'' людей, о которых известно, что у них сними не сложились отношения или есть иныефакторы, влияющие на их характер. Поэтому штатные психологи компании в такой ситуации - последнее дело. Проще привлекать проверенных специалистов извне, если в этом действительно есть надобность.
''Дружите'' с уборщицами конкурентов и будет у вас актуальная информация регулярно.
:D