Психологія на службі інформаційної безпеки. Схильність до злочину

Кажуть, що найкращий бій – те, якого не було. Стосовно до задачі забезпечення ІБ можна було б сказати, що найкраща витік – та, яка не відбулася. Для того, щоб це стало правдою, службі безпеки потрібно діяти на випередження та вміти виявляти інсайдерів ще до того, як вони спробують що-небудь «злити». Виникають питання: як це реалізувати на практиці? Чи можна виявити схильність до інсайду заздалегідь? Під катом я постарався дати відповіді.

Звідки дровишки?
Думка про ранньому виявленні інсайдерів не виникла на порожньому місці. З одного боку, ми з колегою працюємо в навчальному центрі компанії SearchInform і вчити знаходити різних підозрілих особистостей – наш прямий обов'язок. З іншого боку, мій колега – кандидат психологічних наук і довгий час займався, скажімо так, підбором кадрів для потреб певних організацій. Його напрацювання, надалі, нам дуже допомогли. Але спочатку потрібно було вирішити, що взяти за основу. Підвернувся під руку спільний огляд ФБР і ЦРУ проблем інформаційної безпеки за 2006 рік, з якого випливало, що інсайдером, по суті, може бути хто завгодно:

  • службовець (цивільний або військовий);
  • підрядник (наприклад, при залученні до виконання робіт зовнішніх організацій, в т. ч. на конкурсній основі);
  • людина, що працює на повну ставку;
  • людина, що працює на неповну ставку;
  • тимчасовий працівник;
  • користувач, що має доступ до інформації через мережу;
  • колега/партнер (в т. ч. іноземний);
  • працівник органу державного і муніципального управління;
  • працівник провайдера засобів, систем і послуг інформаційних технологій.
Зрозуміло, що подібний підхід носить надто описовий характер, так і відштовхуватися від професії/віку/підлоги та інших «соціально-демографічних» характеристик працівника, підозрюючи його на цій підставі в приналежності до інсайдерам, не варто, так як це не дуже-то наблизить нас до необхідного результату.

У підсумку, для систематизації «всіх і вся» було вирішено керуватися ідеями Карла Густава Юнга, покладеними в основу опитувальника MBTI.

Опис концепції з поясненнями і спрощеними прикладамиНа початку 20-х років минулого століття цей швейцарський психолог висловив думку про те, що поведінка людини не є випадковим, а піддається прогнозу, і, отже, класифікації. На його думку, відмінності в поведінці визначаються базовими психічними функціями, властивими людині протягом всього його життя. У своїй роботі «Психологічні типи» Юнг виділив різні психологічні типи людей у відповідності з різними індивідуальними способами сприйняття і оцінки інформації. Зокрема, він запропонував три пари полярних шкал, що описують психічні процеси сприйняття і переробки інформації (екстраверсія — інтроверсія, сенсорика — інтуїція, мислення — емоції).

  • Шкала «екстраверсія (E) – інтроверсія» (I) описує переваги людини відносно використовуваних джерел енергії. Юнг запропонував розрізняти дві основні установки людини: установку на зовнішній світ, світ оточуючих речей (екстраверсію) та встановлення на внутрішній світ власних думок, переживань, уявлень (інтроверсія);
Спрощений приклад. Вам треба зробити яку-небудь операцію в програмі, але ви не знаєте як. Поруч сидить колега, який може дати пораду. Екстраверт звернеться за порадою, інтроверт же віддасть перевагу не турбувати людей і «полізе» довідку або пошуковик.

  • Шкала сенсорика (S) – інтуїція (N)» описує бажані людиною шляхи збору інформації. Згідно Юнгу, існують два різних способи сприйняття дійсності: шлях відчуттів (сенсорика) і шлях інтуїції;
Спрощений приклад. Свіжопофарбовані лавка з відповідною папірцем з написом «Обережно! Пофарбовано!». Інтуїт «повірить на слово», сенсорик – тицьне пальцем.

  • Шкала «мислення (T) – емоції/почуття (F)» характеризує процеси прийняття людиною рішень. Концепція Юнга передбачає наявність двох основних переваг щодо прийняття будь-яких рішень або винесення суджень: шлях, який спирається на логіку, об'єктивне і неупереджене мислення і шлях, що будується на основі суб'єктивної системи цінностей, особистих пристрастей та почуттів;
Спрощений приклад. «Розумовий» тип про людину скаже «Він мені подобається, тому що...» (далі будуть перераховуватися аргументи). «Відчуває» тип скаже «Він мені подобається і все тут! Сам не знаю чому».

Послідовниці Юнга Кетрін Бріггс і Ізабель Бріггс-Майерс додали ще одну шкалу – «оцінка – сприйняття» і розробили опитувальник MBTI (Myers-Briggs Type Indicator) для діагностики психологічного типу особистості.

  • Шкала «оцінка (J) – сприйняття (P)» описує бажаний людиною спосіб взаємодії з зовнішнім світом. Згідно К. Бріггс існує ще одна пара установок: установка на оцінку інформації та установка на сприйняття інформації. Ця пара визначає, який з двох функцій – функцію збору інформації або функцією прийняття рішень – людина користується при спілкуванні з зовнішнім світом.
Спрощений приклад. При обговоренні чого-небудь «оцінює\вирішальний» тип захоче висловити свою власну думку щодо питання, а не слухати доводи інших. «Сприймає» тип – навпаки: послухає і може бути висловить свої міркування.

Комбінації уподобань людини за кожною шкалою дозволяють виділити 16 різних психологічних типів особистості, кожен з яких для зручності позначається формулою, що включає назви найбільш виражених полюсів.

image
Наприклад, ESTP – экстравертированная (E), яка воліє отримувати інформацію про навколишній світ за допомогою своїх органів почуттів (S), орієнтована на мислення (Т), схильна займати споглядальну позицію (P) особистість. Також існують і «неофіційні», але досить ємні, що відображають життєве розуміння, сукупності якостей, що визначає той чи інший тип – «ярлики». Наприклад, ESTJ – адміністратор, ISTJ – інспектор, ESTP – маршал, ESFJ – ентузіаст і т. д.

Зрозуміло, такий «ярлик» не може адекватно замінити буквену формулу психологічного типу, а в ряді випадків його занадто загальний характер і зовсім веде до ігнорування тонких відмінностей, викривлених уявлень про людину, тим не менш, зазначені назви вельми живучі і популярні.

Переваги розвиваються у людини в ранньому віці, і згодом він твердо їх дотримується. І чим більше ми задіємо свої переваги – як умисно, так і ненавмисно, – тим з більшою впевненістю і готовністю ми будемо на них покладатися. Це, звичайно, не означає, що час від часу ми не можемо користуватися якостями, які не потрапили в ряд переваг. Навпаки, чим більш зрілим стає людина, тим більш багатою і різноманітною подібні «непріоритетні» якості роблять його життя. Разом з тим, замінити собою переваги вони не в силах: наприклад, екстраверт ніколи не стане інтровертом, і навпаки.

Більш того, за наявними даними приналежність до того чи іншого психологічного типу досить тісно пов'язана з професійними ролями, статусом та іншими подібними характеристиками. Наприклад, керівники – це, як правило, «адміністратори» (ESTJ) або «інспектори» (ISTJ) і дуже рідко «лірики» (INFP) (див. малюнок нижче).

imageДжерела* Крегер, О. Типи людей і бізнес / О. Крегер, Дж. М. Тьюсон – М.: Персей – Віче – АСТ, 1995. – 560 с.
** Меньшикова, О. Р. Про результати тестування слухачів Академії народного господарства за двома тестами: MBTI і соціоніка / О. Р. Меньшикова // Соціоніка. Збірник доповідей 4 Московської наукової конференції [Електронний ресурс]. – М., 2001. – Режим доступу: socioniks.chat.ru/mens/sb_mens2.htm – Дата доступу: 12.03.2013.
*** Абельська, Е. Ф. Типоведческое дослідження психічного складу особистості: автореф. дис.… канд. психол. наук: 19.00.01 / Е. Ф. Абельська; Уральський держ. ун-т їм. А. М. Гіркого – Єкатеринбург, 2006. – 27 с.

Але якщо подібний розподіл існує для керівників, логічно припустити, що може існувати аналогічне розподіл і для інсайдерів. Іншими словами, люди з одним психотипом можуть виявитися більш схильними до інсайду, ніж з іншим. Непрямим підтвердженням цієї думки можуть служити результати дослідження Еріка Шоу і Харлі Стоку «Індикатори поведінкових ризиків для виявлення інсайдерських крадіжок інтелектуальної власності», в якому, зокрема, описано ключові моделі поведінки, властиві інсайдерам, винним у крадіжці інтелектуальної власності.

Для кожного психотипу існують як досить повні описи, так і ключові характеристики. Чим більшою мірою людина їм відповідає, тим яскравіше у нього виражений той чи інший психотип. Але навіть короткий перелік характеристик дозволяє робити висновки про те, на що може бути здатна людина. Ось як виглядає, наприклад, перелік ключових характеристик людини, що належить до психологічного типу ESTP («маршал») або його альтер-его соціонічним типом СЛЕ (сенсорно-логічний екстраверт):

  1. Добре вирішує тактичні завдання.
  2. Ієрархічний лідер ділової спрямованості.
  3. Спосіб встановлення контакту орієнтований на об'єктивні показники.
  4. Форма ділової активності орієнтована на вольове подолання перешкод і перешкод.
  5. Система взаємодії з підлеглими передбачає адміністративний контроль.
  6. Відноситься до конкуруючого типу поведінки.
  7. Досягає великих результатів у ділової активності без урахування людських взаємин.
  8. Схильний до активного заперечення етики в бізнесі. Вважає, що мета виправдовує засоби.
  9. Мотиви і мета: егоїзм, карьеристские плани, прагнення до життєвого успіху. Заклопотаність власними прибутками і успіхами своєї фірми.
  10. Ставлення до закону: схильний до кримінального ризику. При можливості намагається подолати правові бар'єри.
  11. Стратегія: хороша орієнтація в ситуації, націленість на сприятливі можливості для збільшення прибутку.
Зміст пунктів 8-10 (та й деяких інших) звертає на себе увагу в контексті розмови про забезпечення інформаційної безпеки. Проаналізувавши всі типи з точки зору притаманних їхнім носіям етичних та ділових якостей, ми з колегою виділили найбільш «небезпечні», тобто ті, які припускають схильність до вчинення інсайда.

image
При цьому велика фігура «зловмисника» (ESTP, ESFP) означає велику ймовірність того, що представник даного типу виявиться інсайдером.

Залишилася «дрібниця» – визначити психотипи працівників. І тут є декілька питань:

  1. За допомогою якого інструмента визначати?
  2. Хто цим буде займатися?
  3. Що робити з отриманими результатами?
В якості методики, що дозволяє виявити психологічний тип, можна використовувати вже згаданий «Індикатор типів Майєрс-Бріггс» (MBTI), також підійде адаптований варіант методики «Визначення темпераменту» (Keirsey Temperament Сортувальник) Д. Кірсі, для прихильників соціонічного підходу можна рекомендувати методику «Ваш соціонічний тип» Ст. Гуленко. На практиці доцільно використовувати комп'ютерні версії згаданих методик, благо в них бракує також немає. В рамках поста для ілюстрації деяких положень буде використаний програмний продукт (ті самі напрацювання колеги, які згодилися) «Система професійно-психологічного тестування», який реалізує як зазначені, так і деякі інші психологічні діагностичні інструменти. Тапками попрошу не кидати – це не реклама софта, т. к. він не продається (просто власна розробка).

Практика
Отже, від слів до справи. Було вирішено перевірити теоретичні міркування на практиці. Природно, першими «піддослідними» стали співробітники власного відділу. Час тестування для одного кандидата склало приблизно 30-40 хвилин. Результати тестування показано на малюнку (варто відзначити, що на малюнку видно лише «верхівка айсберга». На інших вкладках представлений великий обсяг інформації, однак розбирати його в даній публікації буде зайвим).

image
Крім самого головного результату – четырехбуквенного психологічного типу – в обов'язковому порядку слід звернути увагу на вираженість переваг, оскільки чим більше виражені складові психотипу, тим точніше видана програмою характеристика буде описувати людину, а отже, тим більш передбачуваними будуть його дії в тій чи іншій ситуації.

image
На жаль, нашому співробітнику не пощастило: за ними потрібне око та око :)

Але на MBTI світ клином не зійшовся. Тому для більш повної характеристики ми вирішили не обмежуватися тільки одним тестом і в якості «додаткового навантаження» досліджуваний повинен був пройти також тест на схильність до ризику («Особистісні фактори прийняття рішень» Т. Корнілової) і тест на рівень соціального інтелекту («4-х факторний тест соціального інтелекту М. О Салливэн і Дж. Гілфорда).

Перший визначає два параметра: раціональність і схильність до ризику. Найчастіше вони антагоністичні один одному. Тобто чим більше людина схильна до одного, тим менше схильний до іншого. Інсайдери, як ви розумієте, схильні ризикувати.

image
Тест для діагностики соціального інтелекту показує, наскільки досліджуваний вміє «читати» людей, передбачати ситуації, правильно їх інтерпретувати (і, отже, «звертати» їх собі на користь).

image
Знати цей параметр також необхідно, так як багато інсайдери є ще й «маніпуляторами» (маніпулюють людьми для досягнення власних цілей).

В результати тесту варто звертати увагу не стільки на інтерпретацію, профіль та «стандартні» бали, але і на «сирі» бали також, так як саме вони більшою мірою дозволяють судити про індивідуальні особливості досліджуваного. Самі розумієте: інсайдер – «штучний товар».

Тепер настав час відповісти на друге питання: хто буде займатися всім цим? Очевидно, що це не повинні бути співробітники служби безпеки («нам що, більше зайнятися нічим?»). Найменші підозри буде викликати HR-відділ, тому «чорнову» роботу з проведення тестування можна доручити їм. Служба забезпечення ІБ, в свою чергу, буде працювати з вже готовими характеристиками і виявленими психотипів.

Працювати можна за наступним алгоритмом:

  1. HR-служба «проганяє» співробітника за певним набором тестів.
  2. Інформація передається в службу забезпечення ІБ.
  3. Знаючи, до якого типу належить співробітник, фахівець у сфері забезпечення ІБ визначає його потенційну схильність до інсайду (повинні враховуватися не тільки ключові характеристики психотипу, але і інші змінні: вираженість переваг, схильність до ризику, рівень соціального інтелекту).
І, нарешті, третє питання: що робити з результатами? Тут все досить просто. Якщо ваш працівник – володар яскраво вираженого психологічного (соціонічного типу, що входить в «групу ризику», то за ним найкраще «наглядати».

Що ж стосується достовірності результатів, тут теж немає складнощів. Описаний підхід навряд чи здатний повністю замінити професійний досвід керівника, оцінки експертів, результати застосування інших методів дослідження особистості. Але зате такі тести можуть компенсувати відсутність достатнього професійного досвіду у вищеназваних осіб, надати допомогу в ситуації відсутності експертів і неможливості застосувати інші методи.

Висновки
Наостанок хотілося б зазначити, що здійснена спроба виявити потенційну схильність працівника до інсайду не є чимось незвичайним. Подібні підходи практикуються і в інших «родинних» областях. Приміром, глибоко обґрунтована методика психологічної діагностики професійної придатності для роботи в правоохоронній системі почала застосовуватися більш 15 років тому в Російській Федерації.

Одним з основних документів, що регламентують психологічне тестування в правовій практиці Росії, є «Керівництво з професійного психологічного відбору кандидатів на службу в органи прокуратури Російської Федерації». У цьому керівництві виділено п'ять факторів професійної придатності, що включають відповідні їм комплекси професійно важливих якостей (ПВК):

  • необхідний рівень соціальної (професійної адаптації);
  • достатня нервово-психічна (емоційна) стійкість;
  • високий рівень інтелектуального розвитку, пізнавальна активність;
  • комунікативна активність і компетентність;
  • адекватні організаторські здібності.
Дана стаття не претендує на істину в останній інстанції і є лише спробою поставити психологію на «практичні рейки» забезпечення інформаційної безпеки. При правильному підході слід, як мінімум, використовувати окремі набори тестів, спеціально розроблені для тієї чи іншої галузі (категорії посад). Але, як говориться, важливо зробити перший крок.

Питання та обговорення у коментарях вітаються.

P. S. Якщо у спільноти буде інтерес, в наступних постах можна розвинути тему сплаву психології та ІБ.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.