Классификация инсайдерских угроз

В нашем обществе специалисты информационной безопасности зачастую пытаются противодействовать инсайдерским угрозам с оглядкой на запад, перенимая их практику. И все бы ничего, если бы не одно ‘но’. Все они сталкиваются с одним и тем же: на территориях постсоветского пространства западные методы и способы противодействия инсайдерским угрозам просто не работают в силу разности менталитета. В Украине и соседствующих странах свое понимание бизнес-культуры, культуры безопасности, культуры интеллектуальной собственности. И если ничего не работает, возникает вопрос: а что же делать?

Чтобы на него ответить, нужно, сначала надо найти причину, а затем проанализировать следствия. Что же тут является причиной? Краеугольный камень всех угроз на предприятии – люди, то есть сотрудники этого предприятия.

В данном случае опять-таки любопытнейшая тенденция, когда мы говорим об инсайдерских угрозах, то чаще всего какого-либо рода противодействие и противостояние им происходит на финальных тактах, на финальных аккордах. В таких случаях есть только попытки нивелировать последствия, минимизировать убытки и так далее. Возникает вопрос: почему бы не доводить до такого? Почему изначально не развернуть копья и поставить вопрос ребром: что делать, чтобы вообще не допускать возможность реализации сценариев, связанных с инсайдерскими угрозами? А для этого нужно понимать в чем проблема и в чем причина. Собственно причина с людьми, как было сказано ранее. Значит ими необходимо заниматься. Прежде чем принять сотрудника для работы на предприятие, можно же выяснить, что он из себя представляет? Это можно сделать с помощью определенных подходов, поставленных экспериментов и проведенных тестов. Психодиагностика, прикладная психология и другие отрасли научного знания напрямую направлены для того, чтобы отвечать на эти вопросы. Не искать ответы на них, а давать ответы, так как они уже заранее известны.

Психодиагностика – это один из ключевых факторов, одна из отраслей научных знаний, которая является прикладной. Она позволяет прогнозировать степень угрозы, которая может исходить от того или иного человека. Ведь, по сути, когда вы так или иначе сталкиваетесь с человеком, его можно рассматривать по-разному. Но одна из первичных моделей, некая модель весов. С одной стороны, вы смотрите на уровень опасности – последствия, затраченные усилия, которые придется вложить в этого человека. А с другой стороны, смотрите на перспективу, отдачу, что вы с этим человеком сможете сделать. И для этого есть инструменты – проективные тексты и технологии науки выполнения задач, с помощью которых вы сможете ответить на вопросы: по пути вам с будущим сотрудником или нет, и почему?

Сегодня под эгидой Института Информационной Безопасности проводят исследования касательно инсайдерских угроз практического, то есть прикладного порядка. В рамках исследований была выведена классификация из восьми угроз, существующих в Украине.

Классификация инсайдерских угроз:

1. Физическая (агентурная)
2. Ключевая
3. “Пионерская”
4. Техническая
5. Глубинная
6. “Переворот”
7. Идеологическая
8. Скалактическая

Данная классификация позволит распознать с каким видом угроз в тот или иной момент времени имеете дело. По сути своей человек может увидеть только то, что он знает. Если он чего-то не знает, на это внимание не обращает. И только после того, как определили и классифицировали угрозу можно переходить ко второму вопросу: что же с этим делать? Как себя вести, чтобы это предотвратить? Как сделать так, чтобы на предприятии инсайдерских угроз не появилось или вы могли их для себя наилучшим способом минимизировать.

Рассмотрим подробнее из классификации четыре наиболее часто встречающиеся инсайдерские угрозы.

 

Физическая инсайдерская угроза

Когда мы говорим о таком виде инсайдерской угрозы как физическая угроза тут можно было бы условно выделить две категории.

Первая, тот кто работает у вас на предприятии, но его склонили к сотрудничеству в пользу третьего лица. С одной стороны, третьим лицом могут быть конкуренты. С другой стороны, в нашей стране это могут быть и недобросовестные представители правоохранительных органов. Вряд ли даже в той же Америке кто-то встречался со случаем, когда сидят несколько недобросовестных сотрудников правоохранительных органов и думу думают, как же им тяжко заработать себе на новые автомобили. И в тоже временя вспоминают о каком-то предприятии, размышляя: как же выяснить, что у них внутри происходит? Какие проблемы? А вдруг эти негодяи законы нарушают? И находят подходящего человека, склоняют его к сотрудничеству тем или иным способом. И, соответственно, через время на предприятие приходят с обыском, минуя все 20 кабинетов направляются прямо к сейфу, в котором по счастливой случайности собственнику или руководителю накануне пришлось оставить крупную сумму наличных. Ранее не оставляли, но так сошлись звезды и пришлось ее оставить. По сути, так может выглядеть сотрудничество как с правоохранительными органами, так и сотрудничество с конкурентами.

Как это происходит? Первый вариант, когда уже есть человек внутри предприятия и его склонили к этому сотрудничеству. Второй вариант, когда новый человек приходит трудоустраиваться на работу. Руководитель берет этого человека, но оказывается, что он работает либо в интересах конкурентов, либо в интересах недобросовестных сотрудников правоохранительных органов нашего государства, с которыми, к сожалению, многие встречались.

И здесь можно было бы привести яркий пример, чтобы лучше понять, о чем идет речь. Многие, наверное, слышали в период с 2012 по 2017 год в Украине прокатилась волна краж из банковских ячеек. Практически все украинские банки столкнулись с этой проблемой. Человек арендовал банковский сейф в банковском хранилище, где всё закрыто, охраняемо. Нет доступа посторонним лицам. Но в определенный момент времени, когда человек приходит в банк, берёт свою ячейку, открывает ее, а там пусто. Когда с одним из ограблений начали разбираться казалось, что это были пронырливые воры, которые проникли в банковское хранилище, но это только на первый взгляд. В ходе расследования выяснилось, что ранее некое лицо вышло на одного из сотрудников безопасности банка и склонило его к сотрудничеству. В итоге, банку, оказавшемуся в этой ситуации, пришлось вернуть деньги. И здесь идет речь о прямых убытках. Если бы начальника службы безопасности не склонили к подобным действием, стал бы он так самостоятельно действовать? Большой вопрос.

Что следует еще сказать о таком виде угроз, как физическая угроза. По сути своей, когда такой человек уже находится в вашем предприятии, то с одной стороны его будет найти достаточно сложно. С другой стороны, когда с вами будут работать профессионалы, они будут понимать, что необязательно кого-то внедрять в работу на предприятие. Источником информации может быть чей-то друг, мама, знакомый, с кем сотрудник будет в ходе общения делиться информацией. И вы никогда в жизни не узнаете откуда произошел слив. Более того сотрудник сам может не понимать, что сливает информацию. И тут можно было бы привести пример, который хорошо покажет, о чем речь. Думаю, многие смотрели сериал “Меч”. Сюжетная линия разворачивалась в нем следующим образом. Некий честный сотрудник правоохранительных органов был уволен. Он решил, что этому миру в лице некоторых лиц должен отомстить. Собирает группу лиц, в которых были специалисты по оружию, бывшие сотрудники правоохранительных органов, незаконно уволенный бывший военный и обиженные на мир врачи. И вот эта группа по своему усмотрению решает кто виноват и кого нужно казнить. Безусловно ими в определенный момент времени начинают интересоваться правоохранительные органы. Дело ведет следователь женщина. У нее появляется замечательный, любящий ее молодой человек, руководитель той самой группы “Меч”, в отношении которой она проводит расследование. Как вы понимаете, когда вечером она приходит домой ей очень хочется поделиться со своим любимым, молодым человеком тем, что же у неё происходит на работе. И как говорится, ловили они этот “Меч” долго, целых 12 серий, именно по этой причине.

Итак, подытоживая такой тип инсайдерских угроз как физическая угроза, мы с вами говорим о том, что, по сути, есть два типа людей, которые могут оказаться в ваших предприятиях и которые могут причинить ущерб. Соответственно возникает вопрос: а что же с этим делать?

Как бороться с физическими инсайдерскими угрозами?
Ответ на этот вопрос банально прост: не берите на работу кого попало. Вы спросите, а как определить: кто стоит брать на работу? Есть три варианта того, что можно сделать, а еще лучше делать эти вещи единовременно.

Проверка на профпригодность. Профотбор работает, если устроен таким образом, что ваши сотрудники cмогут определить кандидат действительно разбирается в том, что он говорит или он просто вам рассказывает легенду и не тот, за кого себя выдает. И это первый фильтр, который мог бы быть на вашем предприятии.

Проверка на толерантность окружения этого человека. Необходимо понимать, кто находится в окружении человека, которого вы хотите взять на работу.

Проверка кандидата на психологическую пригодность. Тут следует отметить, что модная в наше время проверка на полиграфе дает определенного рода информацию, как говорится, пищу для ума, но здесь существует множество, ‘но’. Потому как если говорить научными категориями — результатами полиграфа является полиграмма. Что такое полиграмма? Это кодированная гипотеза. Гипотеза, которую нужно проверять. Когда получают гипотезу, определенного рода картину того, что могло бы быть, необходимо иметь в распоряжении определённые методики и подходы, с помощью которых можно, либо опровергнуть, либо сделать конкретные выводы. Более того, не стоит забывать, что сегодня существует масса литературы, которая предлагает различные способы “как обмануть полиграф”. Поэтому придется качественно проверять гипотезу с 3-х, а то и с 5-ти точек. Психологическая проверка является одним из основополагающих факторов. Это прогнозирование и понимание того, как обстоят дела с человеком в плоскости его поведения, насколько оно иррационально, к чему он склонен, какие проблемы он обязательно преподнесёт в том или ином амплуа.

Если рассматривать модель поведения человека, есть моменты, когда он ведет себя эффективно, но есть и такие, когда ведет себя странно. Можно было бы сказать, что есть рациональная плоскость поведения человека и иррациональная. Для проверки этого существуют проективные тесты, на основании которых делаются выводы в процентном содержании в человеке рационального и иррационального. Потому как все неверно принятые решения, странное поведение, вырастают из иррационального. И все это прогнозирование иррационального позволяет исследовать тенденции и склонности человека. Например, есть люди склонные к кражам. Есть люди склонные к вранью. Есть люди склонные к артистизму. А есть люди, которые склонны не появляться на сцене и организовывать первых, вторых и третьих.  Этакие режиссеры, которые на мизансцене вашего предприятия будут реализовывать свои замыслы.

 

Ключевая инсайдерская угроза

Наверное, это самая распространённая инсайдерская угроза, которая чаще всего встречается на нашей территории. Выглядит она следующим образом. Представьте себе работал человек на предприятии, все было хорошо или относительно хорошо. Но вот в какой-то момент времени его обидели. Он уходит с предприятия, обида как предание свежо в памяти. Что будет делать этот человек? Ну конечно же он будет мстить обидчику. Но мстить он будет уже извне. И тут нарушается баланс. С одной стороны, внимание бизнесмена должно быть внутри предприятия. А с другой стороны и вовне, он должен понимать, откуда угрозу можно ожидать. Потому как обиженный человек находящийся во вне, будет мстить разными в том числе и самыми изощрёнными способами. Следует помнить: обидчивые люди крайне мстительны, и готовы тратить время и средства, чтобы как следует отомстить и для многих из них норм морали и этики не существует.

Как бороться с ключевой инсайдерской угрозой?

Регламенты. Регламент – это свод правил определенного предприятия, правила игры. И когда человек приходит устраиваться на работу в качестве наемного сотрудника, он эти правила не устанавливает, а должен их знать, понимать и действовать соответственно установленным правилам.

Стоит отметить, что регламентом никак не может быть бумага, скачанная наспех из Интернета и переведенная с иностранного языка через Гугл переводчик.  Неоднократно можно встретить на современных предприятиях ситуацию, когда в качестве инсайдерского соглашения человеку дается бумага на английском языке. Сотрудник не понимает, что там написано, но ставит свою подпись. Такие инсайдерские соглашения крайне неэффективны.

Постоянная работа с кадрами. По сути, своими людьми нужно заниматься, им нужно показывать, рассказывать, объяснять. Если людьми не заниматься, они не будут вашими. А если они не будут вашими, они станут чьими-то другими. А если они станут чьими-то другими – это точка входа третьих лиц на ваше предприятие.

Крайне тщательно относиться к увольнению (либо увольнение “без зла” либо с массой, не позволяющей предпринимать попытки вредить предприятию). Увольнение как процедура должна осуществляться более грамотно чтобы у увольняющегося не было претензий. Если это сотрудник с иррациональным зерном, который генерировал разного рода инциденты на предприятии, то при увольнении все эти вещи необходимо учитывать и действовать таким способом, чтобы у бывшего сотрудника и мысли даже не возникло в дальнейшем мстить.

Ключевая ошибка – профотбор! Руководители предпочитают брать тех, кто нравится, а не тех, кто нужен. Если брать тех, кто нравится, а не тех, кто нужен, толку от таких сотрудников не будет. Смешивание личного и рабочего ни к чему хорошему не приводит.

Вторая ошибка – инсайдерское соглашение. Сегодня в Украине инсайдерские соглашения стали тенденцией. В этом есть неприятность, дело в том, что многие собственники и руководители бизнеса уповают исключительно на это соглашение. Они считают, что подпись сотрудника под соглашением равна тому, что сотрудник никогда его не нарушит. Качественно составленное инсайдерское соглашение безусловно убережет от половины проблем и убытков. Но если заранее подготовленный человек пришел на предприятие для того, чтобы совершать некие действия во вред, то его это вряд ли остановит.

“Пионерская” инсайдерская угроза

Всегда существует некая ключевая фигура о которой можете не знать, но она может владеть таким объемом информации, которого и у разведчика нет. Это могут быть ключевые фигуры в компании и их родственники, врачи, друзья, “гадалки”. Есть те люди, о которых вы можете даже не догадываться, но они могут знать все о вашем предприятии. И безусловно причина тому — сотрудники и их общение не с теми, с кем нужно общаться.

 

Как бороться с “пионерской” инсайдерской угрозой?

Воспитывать личный состав. Другого варианта нет. Если не воспитывать личный состав, если не работать с личным составом, то это может с произойти и даже знать не будете как произошла утечка информации.

Техническая инсайдерская угроза

Вид угрозы достаточно страшный. Под этим видом угроз просим не воспринимать все что связанно с фишингом, хакингом и всем остальным в этом роде. Все что нужно для осуществления технической угрозы – человек, компьютер и, как говорится, немного агрессии. С точки зрения классификации мы бы их могли разделить на две угрозы: линейную и дистанционную.

Линейные – прямая деятельность нанесения вреда и принесение ущерба, когда каким-то образом затрагиваются партнеры, клиенты, сотрудники, которые в Интернете начинают оставлять определенного рода информационные следы, так или иначе дискредитирующие деятельность предприятия или директора этого предприятия.

Дистанционный тип технических угроз, самая сложная с точки зрения выявления в силу того, что здесь необходимо обладать силами экспертного состава адвокатов, журналистов и других экспертов. Данный тип угроз обусловлен отсутствием прямого контакта с человеком и производится путем дистанционного вмешательства через Интернет или другие технические способы связи.

 

Как бороться с техническими угрозами?

Заниматься своими сотрудниками. Руководитель или собственник бизнеса должен понимать, кто работает на предприятии. К чему тяготеют с точки зрения хобби его сотрудники. И если видите такие показатели как: аффирмации, медитации, хочу заниматься или занимаюсь духовными практиками, постигаю высокие трансцендентные величины — все что связано с неписанным и непонятным трансцендентным, все что связано с духовными переживаниями, эзотерикой, мистикой – это параметр того, что человек с подобного рода склонностями претендент номер один, кто будет осуществлять техническую угрозу либо прямым, линейным методом либо дистанционным методом через третье лицо.

 

Если предприятие имеет большое количество сотрудников, что нужно иметь в распоряжении для борьбы с техническими угрозами:

 – компетентных кадров, отладить работу в департаменте PR

 – отдел журналистики экспертный

 – технический отдел

Четыре часто встречающиеся угрозы рассмотрели, для того чтобы возникло некое представление, буквально в двух словах об оставшихся четырёх.

 

Глубинная инсайдерская угроза.

Плановое трудоустройство в компанию заранее подготовленных кадров.

 

Инсайдерская угроза “переворот”.

Внутри компании работают с человеком, руками которого устраивают “революцию” – управленческий переворот.

 

Идеологическая инсайдерская угроза.

Изменение порядков и системы менеджмента в предприятии в интересах третьих лиц посредством идеи/идеологии (духовные практики, НРД, субкультуры).

 

“Скалактическая” инсайдерская угроза.

Работа в интересах внешних подрядчиков/хищения в компании.

 

Подводя итог:

Весь бизнес состоит из людей, без людей бизнеса не будет. Когда человек самостоятельно чем-то занимается он является самозанятым лицом, и к бизнесу это не имеет отношения. Бизнес появляется в тот момент, когда группа людей выходит на рынок и с целью выполнения задач. По сути, когда результат зависит не от одного человека, а от нескольких людей в этот момент времени появляется менеджмент и бизнес.

Когда мы говорим о людях и о человеческом факторе, наверное, это самая большая угроза, которая существует. И если вы спросите у бизнесмена как бы он поступил? Он вам скажет: вы знаете, если бы у меня была возможность неважно за какие деньги, пусть даже самые большие и запредельные деньги вместо человека приобрести робота, то я бы приобрел робота. Потому что робот не болеет, у него не болеют дети. У него нет плохого настроения. Он не совершает каких-то ошибок, которые не были в него заранее запрограммированы. И еще, он не разговаривает. Это человек общается с другими людьми, а робот не разговаривает, общаться ему не с кем. Поэтому если бы у меня была возможность вместо сотрудников закупить роботов, то я бы выбрал второй вариант.

Но есть и другой вариант. Профессиональный отбор — это точка, которая клинит любого рода возникновение инсайдерских угроз. Следуя логической модели корабля и работы с корабельной командой, это точка, когда вы договариваетесь с сотрудником на берегу. Вот там на берегу вы можете сделать с ним все что угодно, можете проверить и удостовериться. Пусть это будет несколько раз, но это будет с проверкой. Потому что, когда вы его возьмете на борт и выйдете в открытое море, вы уже с ним там ничего не сделаете. Что вы там с ним сделаете, выкинете за борт? Это не толерантно, не демократично, противоречит трудовому кодексу и так далее. Все вещи можно предусмотреть, спрогнозировать и заклинить заранее. И вот точка профессионального отбора, одна из тех ключевых ошибок, которые, к сожалению, допускаются. Но сожаление обычно достигается гораздо позже и измеряется в сумме убытков.