С кем мы имеем дело?

С кем мы имеем дело?

Формирование групп риска сотрудников как инструмент для ИБ-специалистов.

Разделение по группам риска — понятный способ категоризации сотрудников компании в интересах ИБ, однако на практике его мало кто использует, поскольку для этого требуется ответить на множество вопросов:

• по каким критериям формировать группы,
• как определять значимость того или иного фактора,
• где брать необходимую информацию о сотрудниках,
• как накапливать сведения и в каком виде их хранить.

В результате руководители понимают, в чём состоит ценность для бизнес-процессов разных должностей и подразделений, ИБ-специалисты уверенно ранжируют опасность уязвимостей в системах, но остаётся невостребованным огромный пласт важнейшей социально-психологической информации, которую не только можно, но и нужно использовать в интересах ИБ. Чтобы восполнить этот пробел, поговорим о том, как работа с группами риска помогает повысить информационную безопасность компании.

ГРУППЫ РИСКА И ИХ ФУНКЦИИ

Термин «группа риска» чаще всего используют в медицине и социологии для выявления людей, наиболее уязвимых к определённым обстоятельствам или воздействиям окружающей среды. К примеру, в социологии к группам риска относят многодетные, неполные семьи и семьи, имеющие детей-инвалидов, в медицине — группы риска развития диабета, сердечно-сосудистых заболеваний, в криминалистике в группе риска находятся бездомные, нарко- и алкозависимые, а также лица, имеющие раннее и повторное антиобщественное поведение.

ISO 27005 определяет в качестве информационного риска «возможность использования уязвимостей актива или группы активов конкретной угрозой для причинения ущерба организации». И хотя стандарт не выделяет группы риска для категоризации человеческого фактора в качестве критерия уязвимости компании, с большой долей вероятности их официальное появление – лишь вопрос времени. Опытные безопасники уже используют этот инструментарий в повседневной работе, понимая, что информационная безопасность требует учитывать наравне с техническим фактором человеческий.

В качестве инструмента работы с человеческим фактором группы риска могут выполнять следующие функции:

• систематизирующую — сбор и упорядочивание потенциальных уязвимостей;
• аналитическую — выявление актуальных для компании уязвимостей;
• прогностическую — предсказание последствий найденных уязвимостей, а также перспектив проведения предупредительной работы;
• защитную — выбор мер по устранению уязвимостей, например, дополнительного информирования групп риска или более частого обучения и тренировки, сопоставление установленной категории риска с разработанным перечнем профилактических мероприятий и выдача рекомендаций по предупреждению небезопасного поведения у конкретных работников.
• инновационную — подбор методов устранения уязвимостей компании через работу с выявленными группами риска.

ОСОБЕННОСТИ ФОРМИРОВАНИЯ

Формирование групп риска в компании состоит из четырёх этапов.

1. Выбор актуальных факторов для категоризации — наиболее релевантных компании качеств сотрудников, позволяющих определить их уязвимость и принадлежность к той или иной группе риска.
2. Определение компонентов данных факторов, которые потенциально можно собрать в имеющихся условиях. Здесь важно максимально точно понять, какие сведения о сотрудниках необходимы и как их можно получить.
3. Задание веса выбранным компонентам факторов. Чтобы понять, какой из факторов важнее, ему присваивается некая условная значимость, которую затем проверяют на практике.
4. Распределение факторов по группам риска. Когда вес компонентов факторов определён, производится их категоризация по группам риска: какой фактор из-за низкого веса следует отнести к низкому риску, какой к среднему и какой к высокому.

Схематично данный процесс можно изобразить следующим образом – рис. 1.

Рисунок 1. Четыре этапа при формировании групп риска в компании

ФАКТОРЫ И КОМПОНЕНТЫ

Основными факторами формирования групп риска являются:

• поведение;
• демографические характеристики;
• психологические особенности;
• специализированные критерии, определяемые особенностями компании и бизнес-задачами.

Компонентами поведенческого фактора могут быть зафиксированные небезопасные действия сотрудников, неоднократное нарушение установленных правил ИБ, инциденты ИБ, результаты обучения и имитированных атак, а также отсутствие взаимодействия сотрудника с отделом ИБ. Например, необычным выглядит поведение человека, который работает в компании больше года, но ни разу не пересылал на проверку подозрительные письма, особенно если его коллеги делают это регулярно.

Определение значимых компонентов поведенческого фактора сильно зависит от внутриорганизационных особенностей, политики ИБ и корпоративной культуры. Если в компании нет регулярного обучения основам ИБ и нет налаженного канала взаимодействия с отделом безопасности, данные факторы бессмысленно учитывать в системе групп риска, поскольку они будут присутствовать у всех.

К демографическому фактору относятся: пол, возраст, место жительства и социально-экономическая принадлежность, опыт работы с ПК, интернетом и почтой. Исследовательские данные подтверждают, что к более высокой группе риска можно относить женщин (по половому признаку), людей в возрасте до 25 и старше 50 лет (по возрастному признаку), жителей дальних регионов (по территориальному признаку), с низкой заработной платой (по социально-экономическому признаку), с низким и непрофильным по должности опытом работы с ПК, интернетом и почтой (по признаку опыта).

Психологический фактор включает личностные черты, психологические расстройства, актуальные потребности, ведущий тип мотивации и эмоциональные состояния (если в компании есть средства мониторинга и лингвистического анализа исходящих писем) сотрудников.

Самые опасные из личностных черт: эмоциональная неустойчивость (нейротизм), доброжелательность, импульсивность, открытость опыту, невнимательность, общительность, подчинённость, доверчивость, безответственность, любопытство.

Наиболее опасные расстройства личности — нарциссическое и антисоциальное.

К специализированным факторам относятся:

• должность / отдел / филиал;
• статус (новый или увольняющийся сотрудник);
• бизнес-значение, значение сотрудника с точки зрения результатов деятельности компании или определяемая руководством важность;
• известные технические уязвимости на рабочем месте сотрудника, которые невозможно устранить.

ГРУППА РИСКА ИНСАЙДЕРСКОЙ УГРОЗЫ

В рамках работы по формированию групп риска можно выделить группы для инсайдерской угрозы, либо совместить их в рамках общей категоризации сотрудников по уязвимости.

В отчёте INSA [1] перечислены виды негативного инсайдерского поведения и психологических состояний, по которым можно выявить угрозу. Они систематизированы относительно актуальных стрессоров.

1. Эмоциональных, которые связывают внешние стрессоры с проявляющимся негативными эмоциями и агрессивным поведением.
2. Организационных, которые фиксируют нелояльное поведение сотрудников по отношению к организации и её процессам.
3. Ситуационных триггеров, которые могут усугублять поведение, увеличивая индивидуальный стресс.

Используя диагностическую методологию, аналогичную DSM-5, авторы отчёта предлагают соотнести эти специфические формы поведения на индивидуальном и групповом уровне с уровнем угрозы и типом нарушения, исходя из предположения, что большое количество случаев такого поведения может указывать на рост вероятности более серьёзных злонамеренных действий, особенно если стрессовые события накапливаются.

Модель отлично отражает возможность использования подобных данных в формировании инсайдерских групп риска с целью помощи в разработке стратегий исправления ситуации на местах (рис. 2).

Рисунок 2. Виды негативного инсайдерского поведения и психологические состояния, по которым можно выявить угрозу, систематизированные относительно актуальных стрессоров

ЗНАЧИМОСТЬ ФАКТОРОВ РИСКА

Значимость факторов для формирования групп риска назначается через оценку путём распределения веса среди компонентов факторов вручную в зависимости от особенностей компании, существующих актуальных процессов и бизнес-приоритетов.

В качестве системы оценки для определения значимости компонентов факторов, обычно используют десятичную (0-10), дробно-десятичную (0-1,0) или бинарную (0-1).

Бинарная оценка наиболее простая, так как вес распределяется равномерно в рамках двух категорий: значим фактор или нет. Минус такой оценки в том, что невозможно отдать предпочтение какому-либо фактору, то есть выделить более или менее важные факторы. Поэтому в более сложных моделях лучше использовать оценку, которая позволит точнее распределить приоритеты внутри факторов.

Критериями эффективности распределения веса между факторами в сформированных группах риска являются:

• Ограниченное количество выбранных отслеживаемых факторов — от 5 до 10. Если факторов слишком много, на выходе получится ни о чём не говорящий усреднённый результат. Недостаточное количество не покажет реальную угрозу, которую создают психологические особенности людей.
• Нормальное распределение по группам риска соответствует теории вероятности: в самой массовой средней группе оказывается большинство, а в немногочисленных крайних — убеждённые нарушители и устойчивые к угрозам сотрудники (рис. 3).

Рисунок 3. Нормальное распределение по группам риска соответствует теории вероятности: в самой массовой средней группе оказывается большинство, а в немногочисленных крайних — убеждённые нарушители и устойчивые к угрозам сотрудники

РАСПРЕДЕЛЕНИЕ ФАКТОРОВ И СОТРУДНИКОВ

Распределение факторов по группам риска будет зависеть от выбранной системы классификации. Наиболее простым и понятным является деление на низкий, средний и высокий риск. Категоризация только на низкий и высокий уровень риска, как правило, оказывается неэффективной.

Пример распределения поведенческих факторов по группам риска – на рис. 4.

Рисунок 4. Пример распределения поведенческих факторов по группам риска

Распределение сотрудников по группам риска желательно автоматизировать. Если сделать это по каким-то причинам невозможно, необходимо не реже, чем раз в три месяца проводить ручной пересмотр групп риска, при необходимости добавляя или удаляя сотрудников.

При неполном соответствии работника группе с более низким риском его следует переместить в группу с более высоким риском.

СБОР И СИСТЕМАТИЗАЦИЯ ИНФОРМАЦИИ

Если вопросы с регистрацией поведенческого фактора помогают решить системы мониторинга и контроля защищённости, с психологическими параметрами ситуация сложнее.

Представляется оптимальным вариант получения психологической информации о сотрудниках через взаимодействие с HR-отделом, который может предоставлять данные тестирования, проведённых в процессе собеседования претендентов на вакансию. В качестве возможных затруднений по этому сценарию отметим следующие:

• Психологическое тестирование может вообще не проводиться в компании, а значит эта процедура потребует внедрения в деловую практику.
• Как правило, результаты психологического тестирования не систематизируются и не сохраняются, а значит, придётся убедить HR-отдел потратить дополнительные усилия на процесс, который не обладает для него ценностью.
• Необходимо будет решить вопрос конфиденциальности собираемых данных и получить письменное согласие кандидата на использование результатов тестирования отделом ИБ.

Альтернативный способ работы с психологическим фактором — использование психопрофилей должности. При отсутствии индивидуальных данных о сотрудниках это позволяет разрабатывать групповые характеристики, в соответствии с которыми отбираются кандидаты. Именно такой подход порождает стереотипы о типичных бухгалтерах и айтишниках.

Групповые психологические профили можно позаимствовать у HR-отдела, если он ими располагает, либо воспользоваться открытыми источниками. Уровень риска при этом будет формироваться в соответствии с должностью. Главный минус такого подхода — высокая вероятность ошибки, в результате которой сотрудник распределяется не в ту группу риска.

Для хранения собранных сведений целесообразно использовать электронную базу данных, которая:

• содержит информацию о степени риска по каждому работнику и каждому фактору, который может стать причиной небезопасного поведения;
• позволяет формировать группы в зависимости от степени риска и действующего фактора для проведения групповых и индивидуальных мероприятий по профилактике небезопасного поведения;
• может регулярно дополняться новыми сведениями о работниках, условиях труда и результатами обучения по ИБ.

ЗАКЛЮЧЕНИЕ

Быстро меняющийся ландшафт угроз информационной безопасности компании требует от ИБ-сотрудников учитывать при построении моделей угроз не только технические, но и психологические факторы. И если для технического анализа риска уже имеется богатый набор методик и программных инструментов, психологическая составляющая этим похвастаться не может.

В этих условиях группы риска могут стать важной частью арсенала эффективного ИБ-специалиста и вывести результативность защиты безопасности компании на принципиально новый уровень.

[1] Assessing the mind of the malicious insider: using a behavioral model and data analytics to improve continuous evaluation, INSA, 2017.