3 июля, 2019

Психолога вызывали?


Палей Лев

Эксперт по информационной безопасности

Где, почему и как информационной безопасности без социальной психологии просто не обойтись

Одна из самых противоречивых сущностей нашего времени – наука психология. На протяжении долгого времени психология имела неопределенный статус, вызывающий споры. Ее то относили к точным дисциплинам, то приписывали отношение к паранаукам. Но так, как объектом изучения психологии является индивидуум (т.е. мы с вами), его восприятие, отношения, поведенческие особенности, многие ее отрасли и понятия проникают все больше в повседневную понятную нам деятельность. Где тут связующая с ИБ?

Знакомая нам дисциплина оперирует математическими выкладками, знаниями в области программирования и построения сетей, изучением поведения. Если психология переплетается с философией, биологией, социологией и историей, то ИБ использует результаты такого гибридного сосуществования. Вопрос только в том насколько глубоко и в деталях нужно знать предмет для применения знаний полученных на его основе?

От общего к частному или две стороны одной медали

Но давайте от общего к частному. К примеру, его величество Маркетинг. Одно из известных его определений, которое мне импонирует: «маркетинг - это рыночная философия, стратегия и тактика мышления и действия субъектов рыночных отношений». Если упрощенно - это процесс формирования потребительской корзины, добавления в такую корзину нового продукта. Характерной особенностью этого неотъемлемого инструмента любого бизнеса является влияние на эмоции человека. Маркетолог управляет мотивацией покупателя, определяя(а потом фокусируясь на) целевую социальную подгруппу и подбирая тактику работы с ней. Если почитать материалы по маркетингу, много внимания уделяется впечатлениям и базовым побуждениям потребителя. Вот так вот - нас уже давно посчитали! Связующее с ИБ здесь:

  • с одной стороны, при покупке инструментария, где специалист по ИБ в роли потребителя пытается бороться со своими эмоциями;
  • с другой стороны, при расследовании внутреннего инцидента, где при знании социальной составляющей, покупательской способности и профиля пользователя можно найти отклонения в поведении или хотя бы завязать беседу с предположительным участником инцидента.

Интересно, что методы сбора и анализа информации зачастую схожи и могут быть использованы перекрестно. К примеру, рекламные рассылки формируемые маркетологами в восприятии ИБ являются спамом. Но если подойти к изучению такой информации при наличии определенного контекста, применить статистическую обработку, то можно лучше понять почему потребитель-пользователь попал в область применения усилий продвиженцев определённой категории товаров. А далее или сделать соответствующие выводы или найти правильный предлог для начала общения, к примеру, если человеку близка тема ремонта дачи, вполне можно заинтересовать своими идеями на эту тему.

Прямо за маркетингом логически следуют продажи. И тут уже работа не с некой подгруппой, а с определенным индивидуумом. Конкретно, последовательно, учитывая все обстоятельства, как-то: влияет ли объект воздействия на принятие решения и в какой степени, какие факторы личностные и внешние оказывают влияние на сам объект. Эти два процесса (маркетинг и продажи) можно сравнить с принятым типированием атак на нецелевые, когда атакуются известные доступные уязвимые узлы, и целевые, когда выбранная жертва подробно изучается. В свою очередь нельзя не отметить что методы сбора и анализа информации, а также способы воздействия заимствованы из психологии.

Методы нападения расследования, в чем схожесть?

Но давайте двигаться дальше по тексту и ближе к ИБ. Общеизвестные темы тестирования на проникновение и форензики вплотную связаны с аналитикой поведения и социальной инженерией. Ещё одно, но теперь уже классическое определение: «социальная инженерия – это совокупность приёмов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату, с использованием социологии и психологии».

При этом, хоть сама область действия социальной инженерии не обособлена, но мы, как специалисты в ИБ понимаем определение социальной инженерии — вот так: «метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств». Такое определение вводит в заблуждение упором на отсутствие технических средств, что совсем не так: скорее при планировании атаки и подборе технических средств, порядка их применения используются методы социальной инженерии. Большинство споров, как известно, возникает вокруг терминов, поэтому упростим себе жизнь и будем двигаться дальше с интерпретацией от ИБ (хотя на мой взгляд общая формулировка более правильная).

Пентест или тестирование на проникновение, довольно популярный метод выявления уязвимостей и недостатков процессов обеспечения ИБ вашей организации, ориентирован ,в основном, на имитацию действий злоумышленника во время целевой атаки. Условный преступник помещается в существующую в компании систему координат и пытается (в зависимости от поставленных целей тестирования) либо получить доступ к чувствительной информации либо имитировать нарушение работоспособности критических для процессов компании систем.

При этом начальная фаза может быть как технической (поиск уязвимостей компонентов ИТ-инфраструктуры), так и социальной (получение информации по звонку в приемную генерального директора/техническому специалисту). Публичные описания таких атак довольно редки и в основном не привязаны к наименованию компании. Определенный флёр всегда сопутствует таким инцидентам добавляя вариативности толкованию результатов и оценке мер противодействия. Что интересно, довольно известная методика нейролингвистического программирования описывает те же методы, которые принято считать составляющими атаки с использованием социальной инженерии:

  • якорение: формирование и использование «якорей» символизирующих определенные душевные состояния.
  • подстройка: копирование позы, тона и позиции человека по некоторым вопросам.
  • лесть: аккуратное, неявное поощрение человека, похвала.

Все эти техники нацелены на формирование доверия у объекта воздействия, необходимых ассоциаций и имеют своим логическим продолжением получение выгоды в форме нужного отношения со стороны объекта, поддержки своих идей, безусловной симпатии. Все тоже самое нужно получить, но в гораздо более короткий промежуток времени, специалисту проводящему тестирование на проникновение. Он может использовать якори (упоминание начальства), подстройку (у меня такая же проблема, давайте я вам помогу) и лесть (ну это дело вас недостойно, вы слишком для этого хороши) для получения нужного действия и/или информации.

Хорошим тоном для специалиста по ИБ является знание и использование таких методик при выполнении собственных функций – таким образом можно всесторонне, насколько это возможно, оценить вероятные вектора атак и точки воздействия, которые необходимо обеспечить защитой. Заметьте, что теми же техниками пользуются и продавцы, которым важно обеспечить доверительные отношения с клиентом. Но правильные продавцы нацелены на долгосрочные отношения и временные ограничения, характерные тестировании на проникновение им не актуальны.

Здесь понятно где психология, а что же насчёт форензики? Есть довольно емкое определение: «Форензика (компьютерная криминалистика, расследование киберпреступлений) — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств». По сути  - это ответвление криминальной психологии, которая в свою очередь берет начало при пересечении психологии и юриспруденции. Методы  форензики исторически используются при проведении корпоративных служебных расследований и, в последнее время, в связи с повышением уровня зрелости процессов обеспечения ИБ в части компаний с ситуационными центрами ИБ (SOC, CSIRT).

Методы изучения информации на предмет наличия необходимых данных об инциденте описываемые форензикой сконцентрированы на анализе отклонений, аномалий. Этакая психология через технические показатели: многие аналитики определяют такие отклонения эмпирическим путём, на основе предыдущего опыта. Один из простых иллюстрационных примеров – сокрытие данных одного типа в файле другого типа. Известно, что с помощью нехитрых манипуляций, можно «склеить» два файла в один (для Windows команда “copy /“), выбрав для отображения в иконке тип .Jpeg. При этом для ищущего файл будет выглядеть как безобидная картинка (или наоборот видео которое принято прятать) а внутри может быть архив с данными. Этот метод описан не раз и основывается на компенсации технической простоты использованием базовых шаблонов поведения и принятых стереотипов. При отсутствии тренировки, достаточно просто незаметить несоответствие размера файла его типу, особенно если несоответствие незначительное. Такая вот надтехническая психология в деталях.

Лучшая защита каналов (связи, восприятия) – понимание методик воздействия

Если пройти от способов проникновения, к выстраиванию защиты часто приходит на ум расхожее утверждение о том, что наиболее уязвимым звеном в защищаемой системе является человек. А для того чтобы усилить это звено специалисты по ИБ прибегают к повышению осведомленности и формированию культуры ИБ. Как такового определения на просторах сети мне найти не удалось, но есть понравившееся: «Под культурой информационной безопасности личности понимается совокупность определенных знаний, умений, навыков и высокий уровень правосознания в информационной сфере.» Когда же мы, как специалисты по ИБ говорим о культуре ИБ, в основном имеем ввиду набор методик по противодействию манипуляторам (описаным ранее) с целью недопущения распространения информации.

Ведь если холодный звонок, попытка подстройки и лесть не сработают предполагаемому злоумышленнику придётся реализовывать другой вектор атаки, который проще (возможно) отследить техническими методами. Очень важно ориентироваться на способы восприятия информации работником компании – ведь каждый может быть целью атакующего, а значит и подача информации должна быть соответствующей и разнообразной. Тот же НЛП упрощает эту процедуру, описывая каналы восприятия до основных:

  • визуальный, то что мы видим;
  • аудиальный, то что мы слышим;
  • кинестетический, то что мы чувствуем.

Идея каналов восприятия основана на системно-векторной психологии личности, которая описывает типирование личности на неосознанном уровне. Угадайте кто это сделал?

При создании программы повышении осведомленности, нам не нужно углубляться в такие тонкости, но использование разных принципов подачи информации в визуальном (плакаты, скринсейверы, презентации), аудиальном (тренинги, семинары) и кинестетическом (игры, тесты, тренировки) отображении вполне себе выполнимая задача.

С другой стороны, самому специалисту по ИБ нужно будет примерить на себя роль публичного рассказчика и усвоить базовые приемы презентации. А ведь это тоже искусство, которым пользуются как упомянутые ранее продавцы, так и пен тестеры. Кроме того, придётся преодолеть стереотип, закреплённый годами за ролью безопасного специалиста, который запрещает, но не обьясняет. И этот вызов достоин принятия и проработки.

Ещё одна сторона культуры -  менталитет. Хватайте определение: «Менталитет – это совокупность умственных, эмоциональных, культурных особенностей, ценностных ориентаций и установок, присущих социальной или этнической группе, нации, народу, народности.». Понятие, сформированное историей (как наукой и как сущностью) и упоминаемое в эволюционной психологии и социологии. К социальной группе можно отнести любую компанию с присущими ей корпоративными ценностями и собственной культурой.

При разъединении отличий централизованного и децентрализованного обеспечения ИБ ISACA предлагает прямой ответ: «централизованное обеспечение ИБ способствует более быстрому применению новых контролей и снижению трудозатрат на их сопровождение. При локальном обеспечении ИБ лучше учитываются особенности страны нахождения, проще обеспечивается соответствие практикам законотворчества». И действительно, известный пример, про то что русскому хорошо, то немцу смерть.

Наши коллеги из Германии привыкли действовать по стандарту, многие мои товарищи, успевшие отработать в компаниях с инвестициями из этой страны, отмечают глубоко укоренившееся чувство лояльности к работодателю и привычку сообщать о недостатках соответствующей службе. В России попытка сообщить о каком-нибудь, пусть даже незначительном, нарушении может быть воспринята как кляуза или донос. Согласитесь, разный эмоциональный окрас. А с учётом этой особенности многие методики при расследовании инцидентов становятся различными для разных территориально-разнесенных филиалов.

Причём это правило действует, как для объектов, находящихся в разных странах, так и для различных частей нашей необъятной родины. Понимание какие коррективы нужно вносить в свои действия (для достижения нужного результата), на мой взгляд следует искать в истории определенного региона, особенностях его экономики.

Корпоративные особенности и командообразование

Как любой из процессов внутри компании, обеспечение ИБ управляется стандартными методами. Каждый работник проходит психологический тест, оценивается кадровой службой с разных точек зрения, участвует в корпоративных активностях, мотивируется. Не секрет, что специалисты по кадрам(HR) используют те самые методы получения информации, которые характерны для психологии, а именно анкетирование и тестирование.

Те же самые методы (включая, но не ограничиваясь) доступны и руководителю подразделения ответственного за ИБ. Один из самых простых, тест MBTI (Майерс-Бриггс о типологии личности) доступен в нескольких вариациях в сети и позволяет дополнить понимание руководителем причин поведения работников в той или иной ситуации, скорректировать и перераспределить задачи наиболее эффективным образом. MBTI широко распространён в мире, в частности в США его используют школьники для определения следующего шага по развитию карьеры, выбора университета.

Тест предлагает на выходе аббревиатуру из 4-х символов, описывающую: ориентацию сознания, способ восприятия ситуации, основу в принятии решений, методы подготовки решений. В зависимости от значений каждого из символов можно собрать под члена команды определенную роль и наполнить ее соответствующими задачами. Если в преложении на конкретные составляющие (ориентируясь на собственный опыт) :

  • ответственным за эксплуатацию нужно иметь в основе рациональность мышления и привычку к планированию, идеально подойдёт ISTJ, но могут быть отклонения;
  • для развития процессов нужно иметь живую фантазию, в купе с детализацией при проработке – ENTJ;
  • для определения лучшей реакции на инцидент, оперативного участия в локализации – ESTP.

Если не брать выполнение конкретной функции, а сосредоточится на командной работе, то полученные данные можно использовать при формировании идеальной команды по Белбину. И тут опять-таки важно для каких целей существует команда, у кого из участников должна быть ведущая и определяющая роли.  Также, нужно учитывать, что показатели могут меняться: к примеру, уверенный ENTJ, стратег по призванию, к концу года вынужден заниматься доведением до ума проектов и с учётом текущих приоритетных задач может пройти тест как ESTJ или INTJ.

Такое же оценочное мышление (но уже без возможности подтвердить оценку) может помочь при внедрении новых процессов или применении изменений. Самый частый и яркий конфликт возникает между экстравертами (а поговорить?) и интровертами (ну мог бы написать!), для которых комфортный способ восприятия информации противоположен.

То же касается других несовпадений по типологии: поспешные решения бесят коллег, занимающихся планированием, медлительность в принятии решений для ответственных за эксплуатацию подобно смерти и так далее. Особенно интересно проявляется взаимодействие при организации проектных команд из разных подразделений. Здесь и иерархические особенности, и менталитет, и соответствие выполняемой функции, да ещё и типология. Все эти ингредиенты предполагаемому руководителю команды нужно обработать и подать в нужной пропорции.

Давайте развивать и углублять идеи!

Понятно, что можно пробежаться галопом по европам, но не сформировать той самой пресловутой практической ценности, поэтому давайте выделим те направления, в которых участвует ее величество Психология и , которые требуют отдельного раскрытия. Список ниже представляет, но не ограничивает эти направления и конкретизирует их вопросами (каждое направление – Ваша возможность для изучения):

  • Маркетинг: продажи, с одной стороны (продавец решения) и выбор решения с другой (специалист ИБ). Методы анализа информации об объекте (как бы это не звучало) воздействия;
  • социальная инженерия(изнутри): участие в процессах ИБ самого специалиста характерны наличием определенных техник нацелены на формирование доверия у объекта воздействия, необходимых ассоциаций и имеют своим логическим продолжением получение выгоды в форме нужного отношения со стороны объекта, поддержки своих идей, безусловной симпатии.
  • социальная инженерия (снаружи): С другой стороны, схожие принципы исповедуют и специалисты проводящие комплексный анализ защищенности(пентест) и, собственно, сами злоумышленники. Даже простые и распространённые атаки (фишинг) ориентируются типы жертв и их побуждающие факторы. Какие это типы и как избежать реализации такого вектора атаки?
  • форензика: Этакая психология через технические показатели. Многие аналитики определяют отклонения эмпирическим путём, на основе предыдущего опыта. И тут место описаниям паттернов и побуждающих императивов. Психологический аспект при проведении комплексных расследований, основные «уловки» злоумышленников и их мотиваторы.
  • культура: как описать правила таким образом, чтобы они были восприняты целевой аудиторией? Как популяризировать направление ИБ, сделать его частью корпоративной культуры?
  • типы личностей в команде: кто как и почему подходит на ту или иную роль? Почему знания о направленности личности даёт дополнительную эффективность всей команде?
  • автоматизация или технические решения: технологии существуют в разрозненном виде или уже есть комплексное понимание как автоматически профилировать группы риска, выявлять по общему отклонению от траектории возможных внутренних злоумышленников? Насколько это трудоемко и какие есть подходы?

Многие знания и возможности – большая ответственность

Но отдельно я хотел бы остановиться на другом определяющем критерии, который не может быть разложен на типы, каналы восприятия, оценён в тестах и статистически обработан. Более того он не про психологию, а скорее про психологизм роли специалиста по ИБ. Для себя я называю этот критерий моральным маятником. Не знаю насколько такое определение говорящее, но отказаться от его использования, вследствие долгого повторения, довольно тяжело.

Представьте специалиста по функциональным обязанностям имеющего возможность скрытно наблюдать за действиями своих коллег, обязанному проводить оценку их действий на соответствие стандартам, формировать список «для наказания», дознавать и дознаваться причин того или иного поступка, проводить аудит, выявлять недостатки, принимать сообщения об уязвимостях. При этом наш герой должен балансировать между заинтересованными подразделениями, быть арбитром и участником дискуссий, но уже отстранённо, не используя результаты полученные в процессе выполнения функций из   предыдущего предложения.

Если представить, что кроме всего вышеперечисленного такой специалист ориентируется в методах работы команды, разбирается в типологиях личности, знает или (не дай бог!) использует техники НЛП и вообще социальной инженерии, то с каждым упоминанием слышится размеренный стук характерный для колебаний маятника. Колебания человека не так слышны, но происходят уже без той самой размеренности, а продолжаются только если наш герой сохраняет способность превращать один вид энергии в другой – как тот самый маятник.

 

Смотрите также

Подпишись на новости!
Подписаться