Несмотря на стремительное развитие технологий, люди по-прежнему подвержены ошибкам, вызванным невнимательностью, страхами и другими факторами. Цифровые решения пока не способны полностью защитить нас от этих недостатков. Это особенно заметно в сфере информационной безопасности, где угрозы, связанные с деятельностью внутренних злоумышленников (инсайдеров), являются одними из самых серьезных вызовов для специалистов. Интеграция гуманитарного и технологического подхода к защите информации может стать ключом к решению проблемы.
Согласно результатам опроса компании «Инфосистемы Джет», за последний год с утечками по вине инсайдеров столкнулись три четверти российских компаний. С начала 2023 года количество таких инцидентов, по оценке экспертов, увеличилось в полтора раза. Актуальность подобных угроз подтверждается постоянным спросом на покупку и продажу конфиденциальной информации в Даркнете. Примерно треть всех предложений связана с корпоративными доступами к виртуальным серверам, базам данных компаний и поиском сотрудников, готовых идти на сделку со злоумышленниками.
Роман Подкопаев, генеральный директор компании Makves (входит в группу компаний «Гарда»), рассказывает о том, как применение психометрического и поведенческого анализа усиливает систему киберзащиты предприятия в борьбе с внутренними нарушителями.
Классификация инсайдеров
Инсайдер — это сотрудник компании с легальным доступом к её данным и ресурсам, который может сознательно или случайно использовать этот доступ для нанесения ущерба организации.​ Классификация видов инсайдеров довольно разнообразна и простое разделение сотрудников на лояльных и нелояльных не отражает всю сложность этого явления и не дает полной картины их действий. В рамках этой статьи мы будем делить инсайдеров по признаку мотивации.
Злонамеренные инсайдеры
Это сотрудники, которые злоупотребляют правами доступа. То есть человек, имеющий соответствующие его должности права, использует их таким образом, что прямо или косвенно вредит компании.
Инсайдеры «по незнанию»
У такого типа сотрудников нет цели нанести вред. Их действия приводят к инцидентам информационной безопасности по невнимательности или по причине незнания корпоративной политики безопасности.
Внутренние агенты
Это шпионы, разведчики, которых вербуют для работы внутри компании. При этом они могут действовать и по собственной инициативе. Их цель – либо получить личную выгоду, либо под давлением извне нанести вред организации.
Методы обнаружения потенциальных инсайдеров различаются по своим подходам: одни ориентированы на мониторинг поведения сотрудников и выявление отклонений, другие сосредоточены на управлении доступом и контроле за информационными потоками. В рамках статьи остановимся на выявлении внутреннего нарушителя с помощью психометрического и поведенческого анализов.
Психометрический анализ

На ранних этапах свою эффективность для выявления потенциальных угроз показывает психометрический анализ. С помощью этого метода оцениваются личностные характеристики, такие как лояльность, эмоциональная стабильность и способность следовать корпоративным правилам. Это позволяет компаниям не только отбирать сотрудников с низким уровнем риска, но и вовремя реагировать на изменения в поведении уже работающих сотрудников.
В современной дифференциальной психометрике используется модель ABCD, которая делит на разные аспекты изучаемые характеристики:

Affect — чувства и эмоции,
Behaviour — поведенческие проявления,
Cognition — когнитивные характеристики,
Desire — мотивы, склонности, ценности.

В каждой категории можно выделить наиболее значимые характеристики сотрудника, которые могут быть связаны с инсайдерскими угрозами:

Чувства и эмоции: высокая эмоциональная нестабильность может привести к нерациональным действиям. Такие люди чаще других становятся жертвами фишинга и социальной инженерии.
Поведенческие проявления: частые нарушения правил и процедур могут указывать на склонность к несанкционированным действиям и нежеланию сотрудничать в рамках корпоративной культуры.
Когнитивные характеристики: неспособность оценивать последствия своих действий и принимать взвешенные решения может привести к опрометчивым поступкам, которые ставят под угрозу безопасность компании.
Мотивы и ценности: сотрудники, демонстрирующие слабую приверженность ценностям и миссии компании, более склонны к предательству интересов работодателя, что приводит к росту угрозы злонамеренной инсайдерской атаки.

Поведенческий анализ

Поведенческий анализ — это процесс мониторинга и анализа действий сотрудников внутри информационных систем предприятия для выявления аномалий, которые могут указывать на потенциальные инсайдерские угрозы. В отличие от психометрического анализа, который предполагает использование инструментов психологии для оценки личностных характеристик сотрудников. Поведенческий же анализ – инструмент высокотехнологичный. Он основан на использовании программного обеспечения для мониторинга и аналитики реальных действий сотрудников в корпоративной среде, например, доступа к конфиденциальным данным, использования корпоративных ресурсов и взаимодействия с коллегами.
Для оценки рисков в информационной безопасности прибегают к анализу:

Аномальной активности доступа: частые или неожиданные попытки доступа к конфиденциальной информации.
Изменения привычного поведения: резкое изменение в активности сотрудника, например, частые задержки на работе или активность вне рабочего времени.
Нарушения политик безопасности: например, использование запрещенных регламентами приложений или устройств.

Применение поведенческого анализа в системах информационной безопасности позволяет выявлять отклонения в поведении пользователей и сущностей от эталонного. Технология носит название UEBA (User and Entity Behavior Analytics). Она активно используется в современных системах защиты данных (DCAP, DLP и других), которые предоставляют администраторам полную картину действий пользователей или объектов за определенный период.
В DCAP-системах используют анализ действий пользователей и системных событий, который выявляет отклонения от нормы: подключение в нерабочее время, необычная активность доступа к данным, например, слишком частые обращения к скриптам, системным и конфигурационным файлам. В DLP-системах есть возможность фиксировать и предотвращать действия, связанные с утечкой данных, такие как копирование информации на флеш-накопители, отправка конфиденциальных файлов по электронной почте или загрузка их на облачные хранилища и др.
Аномальные действия, например, активность в нерабочее время может сигнализировать о возможной инсайдерской угрозе и требует внимания ИБ-специалиста. Возможность сопоставлять активность пользователя с содержимым файлов, с которыми он работает, позволяет незамедлительно принимать защитные меры, например, принудительно завершить сессию пользователя, инициировать смену пароля, заблокировать АРМ или учетную запись.
Комбинированное использование психометрического и поведенческого анализов
Комбинация подходов психометрического и поведенческого анализов создаёт мощный инструмент для защиты от инсайдерских угроз. Психометрический анализ помогает выявить сотрудников с высоким риском стать инсайдером на этапе найма или в процессе работы, а поведенческий анализ обеспечивает постоянный мониторинг и контроль их действий. В совокупности эти методы позволяют создавать более точные профили рисков и разрабатывать индивидуальные стратегии управления угрозами.
Процесс комбинированного использования психометрического и поведенческого анализов можно представить в виде нескольких этапов.

В процессе найма или регулярных проверок сотрудников проводится их психометрический анализ.
По результатам оценки личностных характеристик составляется профиль риска. Он включает в себя оценку их личностных характеристик, которые могут указывать на возможную инсайдерскую угрозу.
Деятельность сотрудников, которых на этапе психометрического анализа определили в группу повышенного риска, необходимо мониторить с использованием инструментов поведенческого анализа.
Когда поведенческий анализ выявляет аномалии или подозрительное поведение, такие решения, как DCAP-системы автоматически уведомляют службу безопасности и могут превентивно ограничить доступ пользователя к данным.

После выявления и предотвращения угрозы процесс выявления внутренних нарушителей необходимо совершенствовать на основе полученных данных: обновлять психометрические тесты, совершенствовать алгоритмы поведенческого анализа и корректировать профили рисков. Это позволяет постоянно улучшать методы защиты от инсайдерских угроз.
Перспективы развития
Развитие методов защиты от инсайдерских угроз, по всей вероятности, будет строиться на основе технологических трендов всей индустрии, например, с использованием искусственного интеллекта и машинного обучения. Большое значение будет иметь интеграция с другими системами информационной безопасности, такими как системы аудита и управления информационными активами, управления доступом и реагирования на инциденты.
В долгосрочной перспективе усовершенствовать свои системы защиты информации смогут те компании, которые сумеют интегрировать современные технологии с гуманитарным подходом, создавая безопасную, прозрачную и доверительную рабочую среду.