Как выявить инсайдера в коллективе?

Утечки информации сегодня – это серьезная угроза для бизнеса, и защита от них – одно из условий успешного функционирования практически любой организации. Однако выявление тех, кто является виновником утечек информации, – задача не всегда легко реализуемая. Гораздо проще найти любителей «слить» информацию, если знать, каков типичный психологический портрет такого человека.

Инсайдерами принято называть сотрудников, распространяющих конфиденциальную корпоративную информацию за пределами организации, в которой они работают. Не будем останавливаться на том, чем распространение подобной информации может навредить компании, поскольку это весьма обширная тема. Вместо этого рассмотрим, что именно побуждает сотрудников «делиться» данными с окружающим миром и какие цели они при этом преследуют.

Откуда берутся инсайдеры?

Инсайдерами не рождаются, инсайдерами становятся. Причем становятся ими, как принято говорить, не от хорошей жизни. И если неожиданно обнаружилось, что в вашей организации завелся инсайдер, следует, в первую очередь, присмотреться к тем, кому может быть выгодна утечка информации в силу каких-то личных мотивов. Наиболее распространенных мотива два: личная выгода и месть работодателю. Хотя, конечно, есть и другие мотивы – но их скорее можно считать исключениями, нежели правилами.

Таким образом, главная черта инсайдера – это сильная заинтересованность в том, чтобы конфиденциальная информация проникла за пределы организации. Зачастую для того, чтобы найти виноватого, достаточно найти того, кто в недавнем времени получил какое-то взыскание, не получил обещанного повышения, не смогу уйти в отпуск тогда, когда ему хотелось и т.д.

Специалисты по безопасности также рекомендуют в первую очередь присмотреться к тем, кто пользуется доверием у руководства и у рядовых сотрудников компании – очень часто подобное доверие служит отличным прикрытием для того, чтобы получить доступ к документам, к которым инсайдер не имеет доступа по роду своих служебных обязанностей.

Впрочем, зачастую работники допускают систематические утечки информации не из-за того, что хотят заработать на данных, принадлежащих своему работодателю или отомстить ему. Нередко в инсайдерстве среди сотрудников виноваты, как то ни странно, «безопасники», которые недостаточно подробно и ясно изложили принимаемому на работу специалисту суть корпоративной политики информационной безопасности. К примеру, нередка ситуация, когда сотрудник хочет взять какие-то важные документы с собой, чтобы поработать с ними дома. При этом пересылка таких документов по электронной почте, размещение на файлообменных сервисах или даже просто переписывание на «флэшку» закономерно расценивается специалистами по информационной безопасности как попытка организовать утечку информации, со всеми вытекающими отсюда последствиями.

Типы инсайдеров

Конечно, инсайдером может оказаться любой сотрудник – и 20-летний системный администратор, и 50-летняя сотрудница бухгалтерии. Однако исследования немецкой компании Result Group говорят о том, что все-таки наиболее часто инсайдерами становятся как раз мужчины. Наиболее типичный инсайдер – это мужчина в возрасте от 30 до 50 лет с высшим образованием, хорошо разбирающийся в информационных технологиях. Впрочем, поскольку сегодня большая часть офисных работников так или иначе работает с компьютером, практически каждому из них при благоприятных обстоятельствах хватит уровня технической подготовки для того, чтобы «слить» информацию.

Психологи давно выделили несколько основных типов сотрудников, которые готовы «слить» не принадлежащую им информацию. Пронаблюдав за членами вашего рабочего коллектива, вы наверняка узнаете некоторых из них – а, возможно, даже и всех сразу.

Наиболее распространенный тип – это «Буратино». Такой человек действует в большей степени из любопытства нежели из корыстных побуждений, и навредить может скорее из-за своей неосторожности и неумения держать язык за зубами, чем из-за желания обогатиться или кого-то подставить. К этому типу может принадлежать сотрудник любого ранга и любой компетенции, однако корпоративные политики информационной безопасности могут успешно противодействовать таким личностям.

Как уже говорилось выше, один из самых серьезных стимулов для инсайдера – это желание отомстить. Поэтому следующий по распространенности психологический тип инсайдера ‑ «неуловимый мститель». К этому типу чаще всего относятся люди, которые мстят фирме распространением инсайдерской информации за свое увольнение. Как показали исследования, проведенные компанией SearchInform, 49,5% всех уволенных работников готовы передать конфиденциальную информацию, к которой имели доступ на своей прошлой работе, новому работодателю. Это действительно серьезная проблема, однако ее можно решить, постепенно ограничивая доступ работника, которого планируется уволить, к конфиденциальным корпоративным данным. Таким образом, можно достичь того, чтобы к моменту увольнения та информация, которой он владеет, была уже неактуальной.

Тип инсайдера, который руководствуется не столько чувством мести, сколько какими-то корыстными или, в очень редких случаях, идейными мотивами, называется «Павлик Морозов». Как правило, этот человек использует для добычи информации и людей, и компьютеры, а пути добычи сведений, в основном, легальны. Информация, которую он собирает, во многих случаях может со стороны показаться нужной ему для работы – именно поэтому данный тип инсайдера особенно опасен. Специалисты по информационной безопасности должны тщательно контролировать сотрудников, которые проявляют служебное рвение, стремясь получить повышение, заработать деньги за счет бонусов и т.д. Многие из этих людей не смогут устоять перед соблазном легкого заработка или высокой должности в конкурирующей компании, которые становятся возможными благодаря украденной им информации.

Наиболее опасный тип инсайдера – это «серый кардинал». Так психологи называют высокопоставленных инсайдеров, имеющих доступ к очень широкому спектру документов. Мотивы, которые им движут, весьма разнообразны, однако наиболее часто такие инсайдеры используют свое положение и доступную им информацию для устранения своих конкурентов и продвижения по карьерной лестнице на все более и более высокие позиции. К сожалению, нередко в компаниях действуют политики, позволяющие руководящему составу организации действовать фактически безо всякого контроля со стороны отдела безопасности, а потому противостоять «серому кардиналу», даже если его удастся выявить, очень и очень непросто.

Инсайдеры и социальная инженерия

Говоря об инсайдерстве, нельзя обойти вниманием вопрос использования приемов социальной инженерии. Зачастую именно их применение выдает замыслы инсайдера – и поэтому очень важно вовремя заметить и распознать случаи применения таких приемов.

«Классические инсайдеры – действительно технически грамотные люди, поскольку для того, чтобы получить доступ к информации, имеющей значение для компании, нужно иметь представление о том, как эта информация защищается от тех работников, которые не должны ее видеть, ‑ считает Сергей Ожегов, генеральный директор компании «Новые поисковые технологии», специализирующейся в области информационной безопасности. – Но сегодня совсем не обязательно быть настоящим хакером для того, чтобы украсть из компании конфиденциальные документы. На первый план выходят приемы так называемой социальной инженерии, против которых бессильны пароли и схемы контроля доступа».

Для использования приемов социальной инженерии по отношению к конкретным сотрудникам инсайдеру необходима некоторая предварительная подготовка, которая позволит ему в дальнейшем сблизиться со своей будущей жертвой. Для этого ему нужна достаточно подробная информация об интересующем его обладателе доступа к конфиденциальным данным – включая информацию о семье, о предыдущих местах работы, об образовании… Проявление интереса ко всем подобным сведениям может быть свидетельством готовящейся утечки информации из организации тем работником, который подобный интерес проявляет.

Не стоит забывать и о таких средствах, близких к социальной инженерии, как банальные кейлоггеры, которые дадут злоумышленнику информацию о логинах и паролях, используемых работниками, имеющими доступ к конфиденциальной информации. Для предотвращения подобного рода ухищрений со стороны инсайдеров необходимо применять качественное антивирусное программное обеспечение, которое будет противодействовать работе кейлоггеров на пользовательских рабочих станциях.

Психология на службе безопасности

Если в вашей организации есть штатные психологи, возможно, руководство даст санкцию на привлечение их к составлению списка лиц, наиболее склонных к инсайдерской деятельности – если, конечно, в достаточно убедительной форме объяснить, для чего это нужно. Подобный список позволит установить контроль за теми, кто, наиболее вероятно, окажется в будущем виновником утечки информации, а, значит, и сэкономит затраты на безопасность, позволив грамотно распределить усилия специалистов между мониторингом действий условно надежных и условно ненадежных сотрудников.

Для более успешного составления психологического портрета каждого из сотрудников целесообразно открыть психологам доступ к переписке сотрудников, которые собираются корпоративными системами защиты от утечек данных (DLP-системами). Некоторые системы позволяют вести архив всей перехваченной информации, предоставляя тем самым чрезвычайно богатый материал для любого психолога.

При этом не нужно бояться того, что на анализ информации потребуется слишком много времени – в конечном счете, это мероприятие окупится улучшением работы службы информационной безопасности и снижением рисков утечки информации.