Выученный инсайд. Когда ущерб компании наносят лояльные сотрудники

BIS Journal №2(37)/2020

18 мая, 2020

Выученный инсайд. Когда ущерб компании наносят лояльные сотрудники

Крупные компании всё чаще выявляют сотрудников, которые своими действиями создают угрозу информационной безопасности, причём лишь незначительная часть из них делает это по незнанию. Все остальные действуют с полным пониманием того, что нарушают инструкцию.

Среди понимающих нарушителей можно встретить два основных мотива, которые побуждают их поступать неправильно. Как ни парадоксально, эти мотивы прямо противоположны друг другу: одни нарушают, чтобы получить личную выгоду, другие — чтобы создать больше ценности для компании.

 

ИНСАЙДЕРЫ И ИНСАЙДЕРСКИЕ УГРОЗЫ

Сотрудника, который своими действиями или бездействием, умышленно или неосознанно причиняет вред организации, в которой работает, называют инсайдером. Этот человек имеет доступ к информационной системе и может совершать различные действия в отношении одного или нескольких информационных активов компании.

Например, он может отправить письмо с информацией о планируемой сделке конкурентам и сорвать её, либо некорректно начислить проценты за обслуживание клиенту, который негативно настроен к банку, в результате чего клиент переведёт свои средства в другую финансовую организацию.

В зависимости от действий, которые выполняет или не выполняет инсайдер, различают три основных типа инсайдерских угроз [1]:

  • Злоупотребление доступом.
  • Обход защиты.
  • Ошибки в настройке прав.

Злоупотребление доступом означает, что сотрудник, имеющий соответствующие его должности права использования различных систем, использует их таким образом, что прямо или косвенно наносит вред компании. Это самая сложная в обнаружении угроза, поскольку обнаружить её техническими средствами практически невозможно — инсайдер имеет вполне легитимный доступ к системе и действует, находясь в рамках предоставленных ему полномочий.

Обход защиты предполагает, что инсайдер использует различные технические средства, чтобы добиться своей цели.

Ошибки в настройке прав приводят к тому, что инсайдер получает доступ к ресурсам, которые не требуются ему для выполнения служебных обязанностей. Обнаружив такую ситуацию, он не только не сообщает об этом в отделы ИТ или ИБ, а напротив, пользуется ситуацией для своих целей.

Рассмотрим, как выглядит инсайдерская атака.

 

МОДЕЛЬ ИНСАЙДЕРСКОЙ АТАКИ

Наиболее наглядный и исчерпывающий вариант моделирования инсайдерской атаки предложили британские исследователи [2], выделив четыре основных компонента (рисунок 1):

  • Катализатор инсайдерской угрозы;
  • Характеристика исполнителя (инсайдера);
  • Характеристика атаки / инсайдерской угрозы;
  • Характеристика организации/ условия реализации инсайдерской угрозы.

Рисунок 1. Модель инсайдерской атаки

 

Катализатором инсайдерской угрозы является поворотное событие, «переломный момент», который подталкивает потенциального инсайдера стать действующим инсайдером. К катализаторам можно отнести:

  • события внутри компании (увольнение, ссора с работодателем или коллегами, столкновение с несправедливостью и т.п.);
  • события в личной жизни инсайдера (семейные проблемы, проблемы со здоровьем, появление новых возможностей и т.п.).

Характеристика исполнителя представляет собой совокупность личных особенностей инсайдера, таких как личностные черты, психологическое состояние, поведенческие паттерны, мотивация, профессиональные навыки и статус в компании.

В Характеристику атаки входят опасные действия, которые может совершить инсайдер, сознательно или случайно. Данные характеристики предопределяют объект и цель самой атаки.

И последний компонент — Характеристика организации, в которые входят активы, предметы, представляющие ценность для компании и интерес для инсайдера, а также уязвимости, слабые места в активах или средствах контроля, защищающих их.

Данная модель ценна тем, что позволяет спроектировать любой тип инсайдерской угрозы и составить характерологические портреты для выявления потенциальных инсайдеров, а также сценарии их действий в рамках организации.

 

ХАРАКТЕРИСТИКИ КЛАССИЧЕСКИХ ИНСАЙДЕРОВ

Чтобы успешно выявлять и профилировать инсайдеров внутри компании, нужно понимать мотивирующие факторы, черты личности и особенности наблюдаемого поведения сотрудников.

Злонамеренные инсайдеры — это классический тип инсайдеров, чьи действия направлены на нанесение умышленного ущерба компании.

Мотивирующими факторами здесь являются:

  • месть — в 56%-86% случаев;
  • финансовая выгода;
  • неудовлетворённость политикой компании (идеологические причины);
  • нереализованные ожидания — плохие отношения с коллегами, отсутствие продвижения по службе, понижение в должности, уменьшение ответственности;
  • стрессовые события, например, введение организационных санкций;
  • желание перенести информацию на новое место работы;
  • желание угодить в случае вербовки знакомыми или родственниками;
  • наличие долгов;
  • наличие проблем, связанных с наркотиками.

Основные цели злонамеренных инсайдерских атак — саботаж (47% случаев) и финансовая выгода от кражи информации (42% случаев).

Общие черты злонамеренных инсайдеров, которые оказываются статистически значимыми:

  • мужчины, большинство из которых на момент атаки не состояли в браке;
  • средний возраст от 35 до 45 лет. Связь между личной и профессиональной жизнью в этот период имеет наибольшее значение, на этот период приходится пик разводов и карьерных перемен;
  • 38% были арестованы ранее;
  • около 50% инсайдеров на момент атаки работали в компании, причём эта доля выше при кражах информации. Оставшаяся часть — бывшие сотрудники;
  • более 50% работали в организации на технических должностях.

Психологические черты, которые обычно свойственны злонамеренным инсайдерам, это:

  • серьёзные психические расстройства — приступы паники, наркотическая и алкогольная зависимость;
  • низкие социальные навыки;
  • склонность к эскалации конфликтов;
  • постоянное недовольство чем-либо в работе;
  • проблемы с управлением гневом, агрессивность;
  • макиавеллизм, нарциссизм, психопатия («Тёмная триада»);
  • интровертность, самоизолированность от коллектива;
  • социальная и личная разочарованность;
  • этическая гибкость;
  • низкая лояльность;
  • чувство собственной правоты в сочетании с гневом, направленным на власть;
  • отсутствие эмпатии.

Считается, что наличие у сотрудника сразу нескольких психологических особенностей из перечисленных говорит о его потенциальной опасности.

Наблюдаемое поведение злонамеренных инсайдеров:

  • прогулы;
  • ссоры с коллегами;
  • трудности с соблюдением правил на рабочем месте;
  • неадекватные реакции на стресс;
  • плохая результативность;
  • в 46% случаев коллеги, знакомые, члены семьи и друзья обладали информацией о предстоящей атаке, но не признавали серьезность заявлений и игнорировали необычное поведение.

Таким образом, поведение классических злонамеренных инсайдеров обладает набором вполне конкретных характеристик, которые позволяют выявить их с достаточной степенью достоверности. Однако помимо классических инсайдеров, совершающих вредоносные действия, отслеживается тенденция к появлению другой разновидности опасных для организации сотрудников — выученных инсайдеров.

 

ВЫУЧЕННЫЕ ИНСАЙДЕРЫ

Выученный инсайдер — это вполне лояльный к компании сотрудник, который в силу собственных убеждений нарушает требования информационной безопасности, что может привести и во многих случаях приводит к утечкам конфиденциальных данных, финансовому ущербу и другим проблемам. Главное отличие выученного инсайдера от классического злонамеренного состоит в том, что он совершает эти действия, искренне считая, что таким образом помогает организации достигать лучших результатов.

Выученные инсайдеры не появляются на пустом месте. Их рождение — результат наложения организационных особенностей на личностные качества сотрудников. Рассмотрим, как происходит формирование выученного инсайдера.

 

Пугливый новичок

Сотрудник только принят на работу. Он в восторге от того, что его выбрали, что прошёл все круги собеседований и проверку службы безопасности. Впереди — стабильная зарплата за усердный труд на благо развития бизнеса.

На коллег смотрит с уважением и опасением. Изо всех сил старается не ударить в грязь лицом, показать себя с лучшей стороны, ведь испытательный срок – как экзамен, только растянутый на долгие три месяца.

Каждый назначенный учебный курс и направленный на ознакомление нормативный документ пристально изучается. За разъяснением непонятных моментов он пытается обратиться к коллегам, но в основном от него отмахиваются, либо недоумённо пожимают плечами — не задумывались, не помнят, не обращали внимания на такие тонкости, в работе не требуется.

Постепенно новичка всё больше загружают работой, времени вникать в детали не остаётся, он убеждается, что для выполнения плана всё это и в самом деле не требуется, а если и требуется, то очень редко, так что лучше позвонить ещё одному клиенту, сделать дополнительную отметку в CRM, чтобы улучшить свои ключевые показатели эффективности. Так пугливый новичок переходит на следующий этап развития, который можно назвать «Сомневающийся боец».

 

Сомневающийся боец

Сотрудники, успешно продержавшиеся испытательный срок и не испугавшиеся огромного объёма свалившейся на них разнообразной работы, из пугливых новичков превращаются в бойцов. У них рождается сомнения по поводу бизнес-процессов, в которых им приходится участвовать. Поскольку они не видят ситуацию целиком, им начинает казаться, что принятые в банке процедуры страдают излишним формализмом, это мешает бизнесу и в конечном счёте сказывается на их эффективности, а значит, они получат премию меньше, чем если бы всё работало как часы.

Эти сомнения бродят у них в сознании, изредка принимая форму недовольства, осторожно высказываемого на командообразующих мероприятиях, в спортбарах и других заведениях с алкоголем. Озвучивать их на совещаниях, где подводят итоги месяца или квартала, они пока не решаются, поскольку не набрали достаточно опыта, чтобы их мнение принимали во внимание.

 

Уверенный воин

Систематическое применение обходных процедур для ускорения решения вопросов стало привычной частью бизнес-процессов, заменив регламенты безопасности, содержащиеся в нормативных актах. Воин бизнеса ловко раскручивает воронку продаж и спокойно идёт на нарушения, поскольку совершенно уверен, что время — деньги, победителей не судят, поэтому ему никто ничего не скажет, если он будет выполнять и перевыполнять бизнес-план.

На общих собраниях воин свободно высказывается по поводу ненужных формальностей, мешающих достижению целевых финансовых показателей, и временами даже получает поддержку со стороны руководства.

 

Убеждённый инсайдер

На этой стадии сотрудник, как правило, уже вырастает по карьерной лестнице до руководителя среднего звена или даже топ-менеджера. Приобретённые им навыки пренебрежения безопасностью становятся не просто нормой жизни, а обычаем бизнес-практики. Подчинённые получают рекомендации придерживаться нормативных актов банка, но не до фанатизма, чтобы не парализовать работу.

С коллегами, отвечающими за информационную безопасность, проводятся доверительные беседы, цель которых — убедить пойти навстречу и не обращать внимания на «незначительные» нарушения, «ведь все решают общую задачу».

 

ВЫУЧЕННЫЙ ИНСАЙД В «ДИКОЙ ПРИРОДЕ»

Рассмотрим реальную историю превращения вполне лояльных сотрудников в инсайдеров.

В крупном банке из ТОП-3 имеется нормативный акт, с которым ознакомлены все сотрудники. В соответствии с ним сообщать клиентам процентную ставку по электронной почте или по телефону строго запрещено, поскольку такая информация относится к разряду банковской тайны, и её передача по открытым каналам связи недопустима.

Условия привлечения или размещения средств — это один из самых распространённых вопросов, которые клиентские менеджеры получают от действующих и потенциальных клиентов. Изменение ключевой ставки ЦБ РФ мгновенно создаёт поток запросов на корректировку действующих ставок по кредитам и депозитам.

Чтобы ответить клиенту, сотрудник должен согласовать новую ставку с ответственными подразделениями, а для отправки сообщения придётся использовать защищённую почту, либо распечатать письмо на фирменном бланке, подписать у руководителя, зарегистрировать в системе электронного документооборота, заказать такси и отвезти клиенту.

Если бы клиентский менеджер работал с одним-единственным клиентом, такую схему работы с большой натяжкой можно было бы назвать уместной и оправданной. Однако в реальности каждый клиентщик взаимодействует с десятками организаций, поэтому он просто не может себе позволить роскошь действовать по такой процедуре. И даже защищённый документооборот или банк-клиент не всегда спасает положение.

Чтобы не попасть под санкции службы ИБ, клиентщики поступают проще: они фотографируют согласованную ставку на смартфон и отправляют её клиенту в WhatsApp или другой мессенджер. Обнаружить такие действия служба безопасности в общем случае не может, поэтому никаких последствий не бывает.

Клиент доволен, сотрудник тоже — он сэкономил рабочее время и сохранил хорошие отношения с бизнес-партнёром.

По идее ситуация выглядит как вин-вин — в плюсе как клиент, так и банк. Но если взглянуть глубже, обозначаются проблемы:

  • Сотрудник привыкает к мысли, что нормативные акты по безопасности — это что-то мешающее реальной работе, а поэтому можно и нужно использовать все средства, чтобы решить вопрос наиболее простым способом.
  • Клиент привыкает, что взаимодействие с банком происходит не по правилам, а в соответствии с его требованиями, поэтому попытки вернуть взаимодействие в рамки регламента неизбежно встретят сопротивление.
  • Воодушевлённый мыслью, что всё делает правильно, сотрудник будет всё шире использовать практику обхода ограничений, поскольку он работает, чтобы принести максимум пользы в единицу времени.

Фактически у вполне лояльного сотрудника развивается отношение к ИБ, свойственное скорее для инсайдера. В конечном счёте это неизбежно приведёт к инциденту, виновником которого будет данный лояльный сотрудник.

Особая опасность такого выученного инсайда состоит в том, что сотрудник уверен в своей правоте, поэтому менее подозрителен и внимателен. А ещё он неизбежно будет применять свои «навыки» и после перехода в другую организацию, создав инсайдерские угрозы на новом месте.

 

ВЫЯВЛЕНИЕ ВЫУЧЕННЫХ ИНСАЙДЕРОВ

Учитывая риски, которые создают выученные инсайдеры, а также степень влияния на менее опытных сотрудников, крайне важно своевременно выявить их присутствие в организации и создать понимание того, каким образом можно спрогнозировать их появление.

Среди наиболее характерных качеств выученного инсайдера можно выделить следующие:

  • высокий уровень лояльности к организации;
  • большой опыт работы;
  • трепетное отношение к решению бизнес-задач;
  • пренебрежение любыми ограничениями, мешающими достижению бизнес-целей;
  • хорошие показатели исполнения плана;
  • дружеские отношения с клиентами и коллегами;
  • уверенность в том, что небольшие нарушения ради достижения цели вполне допустимы.

Если задуматься, эти качества можно обнаружить у каждого успешного клиентского менеджера. Однако далеко не все они становятся выученными инсайдерами. В чём же дело?

Наиболее вероятной причиной такой трансформации является многократное положительное подкрепление нарушений правил безопасности, которое сотрудник получал в течение своей трудовой карьеры. Если бы этот путь к вершине прервался на начальном этапе, и потенциальный инсайдер получил наказание за несоблюдение правил, у него бы сформировалось другое отношение к требованиям ИБ.

Вторая причина состоит в том, что во многих случаях соблюдение всех нормативных документов действительно вступает в конфликт с интересами бизнеса. Однако в этом случае проявление лояльности должно состоять скорее в том, чтобы инициировать пересмотр устаревших требований и разработки удобных и безопасных процедур, а не в том, чтобы допускать систематические нарушения, оправдывая себя тем, что «по правилам работать невозможно».

 

КАК ИЗБЕЖАТЬ?

Учитывая риски, которые создают инсайдерские действия лояльных сотрудников, необходимо принимать максимум возможного для предотвращения или снижения вероятности появления выученных инсайдеров.

Среди таких мер необходимо отметить:

  1. Систематическое отслеживание исполнительской дисциплины.
  2. Внезапные проверки соблюдения требований ИБ.
  3. Показательные наказания сотрудников, нарушивших регламенты.
  4. Проведение реинжиниринга бизнес-процессов для выявленияИБ-процедур, затрудняющих взаимодействие с клиентами и снижающих эффективность достижения плановых показателей. Процессы, которые не принимают во внимание удобство исполнения и эффективность, скорее всего, приведут к распространению небезопасныхрабочих практик, то есть к появлению выученных инсайдеров.
  5. Привлечение потенциальных выученных инсайдеров к разработке новых процедур обеспечения безопасности при выполнении бизнес-задач.
  6. Обязательную проверку биографической информации при найме сотрудников.
  7. Психологическое тестирование при найме на работу с использованием пятифакторного опросника личности (Big-5) и теста «Тёмная Триада» (SD3).
  8. Включение в учебную программу по ИБ курса по выявлению инсайдерской угрозы среди коллег. Важно, чтобы сотрудники знали, что делать, если они наблюдают чужое небезопасное поведение.
  9. Внедрение в корпоративную систему мотивации поощрения персонала к бдительности и внимательности к угрозам, которые могут исходить от других сотрудников.
  10. Создание программы помощи уязвимым сотрудникам. Если сотрудники сталкиваются с какой-либо формой личного кризиса, рекомендуется поощрять сотрудников обращаться за помощью. Обратная связь, полученная от лиц, совершивших акты шпионажа, свидетельствует о том, что раннее вмешательство могло бы предотвратить эти действия.

 

***

Инсайдеры и инсайдерские угрозы — сложное и многогранное явление, исследования которого ведутся во всём мире. Выученный инсайдер опасен ничуть не меньше, чем злонамеренный, поскольку его действия создают риски для компании, среди которых могут быть как репутационные, так и финансовые. Именно поэтому руководству кредитных учреждений следует выделить ресурсы для выявления потенциальных выученных инсайдеров и предотвращения их появления.

 

[1] S. M. Bellovin, The Insider Attack Problem: Nature and Scope. Springer, 2008, ch. in [71].

[2] J. R.C. Nursey, O. Buckley, P. A. Leggy, Michael et al, “Understanding Insider Threat:

A Framework for Characterising Attacks,” IEEE Computer Society, 2014.

Смотрите также