Психология шпиона и саботажника во многом совпадает.
Мы привыкли при слове "шпион" представлять себе агента 007, хладнокровного, спокойного, обаятельного.
В действительности же, согласно отчету центра безопасности персонала PERSEREC Министерства обороны США, среднестатистический шпион - конфликтный сотрудник с вредными привычками и психическими проблемами, плохо уживающийся в коллективе.
В отчете PERSEREC Espionage and Other Compromises of National Security. Case Summaries from 1975 to 2008 детально рассмотрены реальные случаи шпионажа в гос.структурах США с 1975 по 2008 (141 случай).
На базе этой статистики можно смело провести анализ поведения шпиона и получить портрет среднестатистического шпионящего инсайдера.
Что и было сделано специалистами PERSEREC и CERT при помощи профессиональных клинических психологов контрразведки в отчете CERT. Comparing Insider IT Sabotage and Espionage: A Model-Based Analysis.
В отчете было проведено отдельное системно-динамическое моделирование ИТ-саботажника и шпиона, причем для ИТ-саботажа использованы результаты предыдущего исследования CERT по ИТ-саботажу, обработанные совместно с психологами при анализе CERT Insider Threat Database.
Затем исследователи сравнили модель шпионажа и ИТ-саботажа и пришли к выводу, что в моделях есть схожие черты. Авторы отчета смогли сформулировать 6 ключевых наблюдений о сходствах и различиях между шпионом и саботажником, а также сформировать общую модель поведения, единую для этих двух типов инсайдеров.
На мой взгляд, можно найти сходства и между другими типами инсайдеров: мошенниками, инсайдерами, осуществляющими кражу интеллектуальной собственности, саботажниками и шпионами.
Скорее всего в корне отличаться будет только поведенческая модель немотивированного инсайдера.
Поэтому в итоге, я надеюсь, мои исследования (да и исследования CERT) придут к общей модели, единой для всех типов инсайда, которая позволит выработать меры защиты для комплексного противодействия инсайду.
Наблюдение 1. Большинство саботажников и шпионов имели персональные предпосылки, которые увеличили риск совершения правонарушения.
Персональные предпосылки - это, как правило, неадекватная реакция на стресс, финансовые и прочие персональные нужды, которая ведет к конфликтам и нарушению правил, хроническому недовольству, сильной реакции на организационные санкции, утаиванию фактов нарушения правил и склонности к обострению рабочих конфликтов.
Наблюдение 2. В большинстве случаев шпионажу и ИТ-саботажу способствовали стрессовые события, в том числе организационные санкции.
Причем самым стрессовым событием для инсайдера является увольнение или отстранение от выполнения своих обязанностей. Большинство инсайдеров из CERT Insider Threat Database и PERSEREC Database атаковали именно после таких событий.
Наблюдение 3. Чаще всего подозрительное поведения можно было обнаружить до или во время проведения саботажа и шпионажа.
К подозрительному поведению относится:
Опоздания, прогулы
Конфликты с коллегами
Плохая производительность труда
Нарушения ИБ
Подготовка к атаке.
Наблюдение 4. Технические индикаторы могли бы предупредить организацию о планируемом или производимом нарушении.
Это наблюдение авторы формулируют как "ловушка доверия".
Чем больше организация доверяет инсайдеру, тем меньше у нее желание производить аудит и мониторинг его активности. А это уменьшает шанс того, что подозрительная активность данного сотрудника вообще будет обнаружена. Тем самым, опять же, растет доверие к инсайдеру.
Наблюдение 5. Во многих случаях организация проигнорировала или проглядела нарушение правил.
В некоторых случаях организации замечали нарушения правил, но игнорировали этот факт. Это поведение неверно. Необходимо, чтобы инсайдер понимал, что организация в курсе его деятельности.
В крайнем случае можно не информировать сотрудника, но установить более детальный мониторинг его действий.
Наблюдение 6. Недостаток физического и электронного контроля доступа влияет как на ИТ-саботаж, так и на шпионаж.
Как правило, инсайдер имеет доступ к активам, которые не являются необходимыми для выполнения его производственных функций.
Ролевое разграничение доступа - отличное решение.
Необходимо отметить, что несмотря на сходства, между шпионом и саботажником много отличий.
Саботаж - явление единичное.
Шпионаж - процесс длительный.
Поэтому, как правило, социальные и технические индикаторы шпионажа проявляются гораздо раньше, чем аналогичные индикаторы саботажа.
Да и сами индикаторы у них отличаются.
Также важно, что, как правило, шпионаж не является настолько технически сложным, как саботаж. Поэтому шпион - это не обязательно привилегированный технический персонал.
Шпион обычно действует в рамках предоставленных прав и полномочий.
Общая модель
Модель ИТ-саботажа
Модель шпионажа
Хочется отметить, что с точки зрения моделирования CERT и PERSEREC продвинулись вперед: они уже определяют типы обратных связей в системно-динамической диаграмме и типы зависимостей между элементами схемы :)
Но,
безусловно, неприятно, что исследования до сих пор стоят на уровне
диаграммы. Компьютерное моделирование проводить с использованием
полученных моделей пока не представляется возможным.
Еще на тему защиты от инсайдеров читайте:
Лучшие практики защиты от инсайдеров от CERT
Управление риском ИТ-саботажа от CERT
Архитектура борьбы с инсайдом от CERT
Еще на тему защиты от инсайдеров читайте:
Лучшие практики защиты от инсайдеров от CERT
Управление риском ИТ-саботажа от CERT
Архитектура борьбы с инсайдом от CERT
Комментариев нет:
Отправить комментарий