Сегодняшнее мероприятие ведет Рустам Фаррахов, директор департамента развития продуктов компании InfoWatch. Сегодня речь пойдет о группах риска, теоретическими аспектами управления ими и практике применения этого подхода.

За первое полугодие 2022 года произошел кратный рост объемов информации, которая «утекла» из компаний. Более, чем в 4 раза возрос объем такой информации, также возросло и число инцидентов и угроз, инциденты стали носить более изощренный характер. Зачастую используются приемы гибридных атак, используются уязвимости, связанные и с внутренними сотрудниками. Некоторые инциденты связаны с политическими и идеологическими мотивами сотрудников. Все это ведет к тому что прогнозировать и анализировать происходящее становится все сложнее. Фокус внимания по обеспечению ИБ направлен в большей степени на защиту от внешних угроз. При этом недостаточно внимания уделяется на защиту от внутренних угроз и рисков.

Все это ведет к изменениям в правовом поле, в нормативно-правовой базе. 1 мая 2022 года вышел указ президента №250, который вводит персональную ответственность должностных лиц, принимающих решения. Кроме того, известен законопроект, который согласовывается и вероятность принятия которого весьма высока и который ужесточает ответственность за утечки и вводит оборотные штрафы за них. Учитывая рост угроз и изменения в нормативно-правовой базе ответственность растет для конкретных лиц в компании, растет вероятность получения штрафов, т.е. растет стоимость рисков. Это требует принятия определенных мер по контролю за рисками. Меры можно разделить на три уровня.

Первый уровень – это мониторинг, здесь необходимо обеспечить мониторинг происходящих событий, инцидентов, уязвимости, угроз для того, чтобы оперативно их выявлять и предпринимать определенные меры. Второй уровень – анализ полученной информации, чтобы его результат использовать для принятия наиболее эффективных мер по противодействию угрозам. Третий уровень – прогнозирование рисков, т.е. способность защищать завтрашний день, действуя на опережение.

Здесь важно обратить внимание на статистику, которая показывает, что 82% утечек были спровоцированы умышленными действиями, из них более половины связаны с действиями внутренних нарушителей. Если попробовать ранжировать ИБ-риски, то риски, связанные с персоналом, попадают в первую тройку инцидентов.

К чему могут привести намеренные или не намеренные действия со стороны персонала? Здесь можно построить карту рисков: это риски потери конфиденциальности данных или риск утечки, это репутационные риски, если сотрудник производит какой-то саботаж или действует намеренно, чтобы повлиять негативно на репутацию компании, корпоративное мошенничество, действие сотрудника направлено на получение определенной выгоды. И действие в интересах конкурентов, т.е. намеренный слив информации конкурентам для ослабления позиции компании.

Сотрудник – потенциально – носитель риска. При категоризации нам могут помочь группы риска. Сам термин «группы риска» он появился в социологии, он обозначает группу лиц, подверженных тому или иному воздействию, как правило негативному. Для области ИБ, такое определение применимо, можно рассматривать как группу лиц подверженных тому или иному воздействию. Например, тестирование сотрудников на подверженность фишингу и таким атакам, и предпринять соответствующие меры. Это группа лиц, являющиеся потенциальными нарушителями и нужно выделять такие группы риска.

Мы определяем группу риска как группу лиц, являющуюся потенциальными источниками угроз.

Посмотрим на статистику, подготовленную ассоциацией специалистов по борьбе с мошенничеством. Здесь мы видим список групп и видим корреляцию, на сколько принадлежность персоны к той или иной группе связана с мошенничеством, которое уже произошло. Можно эту логику развернуть и сказать, что если мы умеем определять по определенным критериям принадлежность персоны к той или иной группе, то на основе этого мы можем строить предположение о том, насколько высока вероятность участия данной персоны в нарушении.

Подробнее остановимся на отдельных группах. На первом месте у нас было «Несоответствие доходов и расходов» - это очевидная группа, значит у сотрудника есть дополнительные источники доходов, вероятно, могут быть какие-то коррупционные схемы, мошеннические действия.

Все это нужно серьезно анализировать. Принадлежность сотрудника к этой группе является флажком, сигналом, который может подсветить необходимость провести дополнительный анализ.

Следующая группа риска более дискуссионная – это «Неформальные отношения».

Здесь тоже все строится не некоторых вероятностях. Отношения между сотрудниками, или сотрудником и конкурентом само по себе не является инцидентом, но это тоже может служить неким флажком.

Следующая группа риска – игроманы, как одна из форм зависимости.

Это может повлиять на поведение и мотивацию сотрудника. Он может столкнуться с финансовыми сложностями, что может повлечь противоправные действия.

Следующая группа риска – радикалы, это тоже дискуссионная группа, но она актуальна в сегодняшнее время.

Мы наблюдаем определенные мотивы у нарушителей в известных инцидентах. Сюда можно отнести политические, религиозные и идеологические взгляды. Они могут инициировать действия, которые могут нанести компании урон.

Если переходим в практическую сторону вопроса, то как с этим работать?

Как применять данный подход в ежедневной работе офицера безопасности. Здесь возникает множество нетривиальных задач. Нужно либо самому разработать, либо воспользоваться какой-то методологией, нужно определить критерии, группы ранжировать, определять значимость. Как собирать информацию, как ее хранить, обрабатывать и как поддерживать эти данные в актуальном состоянии. Нас интересует поведенческая сторона. Все эти вещи достаточно изменчивы и быстро устаревают.

Как работать с группами риска

Как выстроить эту работу, как ее поддерживать? Есть такие решения в продуктах InfoWatch?

Основные инструменты, которые могут использоваться, это «База контентной фильтрации», «Визуальный анализ», «Мониторинг действий сотрудников» и «Система анализа поведения на основе ИИ»

«База контентной фильтрации» соответствует словарю, но он больше чем словарь DLP, это лингвистическая модель, которая сдерживает набор правил, описывающий тот или иной набор информации, тему.

«База контентной фильтрации» помимо слов и ключевых фраз содержит связи между этими фразами, весами, частоты использования и т.д. Как это может помочь в выявлении рисков?

Существуют тематические БКФ, по группам риска, которые позволяют в сообщении сотрудника выявить определенные признаки, по которым его можно отнести к группе риска. Здесь приведены примеры таких лингвистических моделей девиантного поведения, пагубных привычек, проблем с законом и т.д. Лингвистическая модель используется не для того, чтобы определить чувствительность информации, с точки зрения конфиденциальности, а то что лингвистическая модель используется для того, чтобы в содержимом коммуникаций выявлять те или иные признаки, характеризующие сотрудника.

Другой инструмент, который может быть использован – это визуальный анализ связи.

Такой инструмент, как граф связи, позволяет взглянуть на коммуникации сотрудника с точки зрения связи с другими сотрудниками, внутри и во вне компании и проанализировать интенсивность этих связей. Это позволяет выявить неформальные отношения. Это инструмент представлен в модуле DLP-системы, который называется InfoWatch Vision.

InfoWatch Vision – это BI-система, позволяющая работать с большим объемом данных, накопленных DLP-системой.

Следующая группа риска – игроманы

Выявлена эта группа риска может быть с помощью мониторинга действий сотрудников. Эти примеры намеренно упрощены, чтобы была возможность отразить возможности такой работы. Можно собрать статистику какие веб-ресурсы посещает сотрудник, какие у него были поисковые запросы.

Мониторинг действия сотрудников реализуется в InfoWatch Activity Monitor, там есть еще много инструментов для получения картины о рабочем дне сотрудника. Есть и статистика по используемому ПО.

Как использовать статистику о вводимых поисковых запросах. В них можно вылавливать некоторые фразы, которые свидетельствует о том, что сотрудник замышляет противоправное действие.

С помощью мониторинга можно отследит посещение сотрудником джоб-ресурсы или тематические ресурсы, скорее всего он ищет работу, значит высока вероятность его увольнения. А увольняющийся сотрудник – это всегда риск утечки.

Как оцифровать интуицию и приоритизировать риски?

У нас есть хорошие инструменты для мониторинга и анализа, но то что касается прогнозирования, выстраивания цепочки между признаками и группой риска, это в большей степени лежит в области самого ИБ-специалиста, это опирается на его опыт и экспертизу, интуицию. Есть гораздо более сложные модели, но объем данных огромен. Как автоматизировать и эту работу?

У вендора есть решение InfoWatch Prediction, которое автоматизирует всю работу по выявлению групп риска, по выявлению принадлежности сотрудников к этим группам. Это экспертная система, там сосредоточена некая экспертиза по определению связи между признаками и группами риска.

Рассмотрим как строится работа с использованием InfoWatch Prediction.

На примере того, как это выглядит в интерфейсе, на примере конкретного кейса, у нас есть отранжированный список сотрудников и видно по каждому из сотрудников степень его принадлежности к группе риска.

Сотрудник Соколова Ирина имеет высокие показатели по группе риска аномалий почтовых отправлений с рабочей почты на личную и аномалий по посещения сайта hh.ru. Очевидно сотрудник собирается уходить из компании.

Важно отметить, что вся аналитика строится вокруг сотрудника и если интересно разобраться, почему сложился такой рейтинг, то можно перейти в досье сотрудника.

Когда мы говорим о выявлении тех или иных признаков (InfoWatch Prediction использует более 200 параметров), то благодаря алгоритмам машинного обучения, обеспечивается возможность обработке данных, имеющихся в распоряжении.

InfoWatch Prediction относится к классу UBA-систем анализа поведения.

Предиктивная аналитика на основе искусственного интеллекта помогает управлять рисками.

Следующий слайд подтверждает, что эффективная работа с группами риска – это всегда комплексный подход.

Сейчас на главной