Инсайдеры. Часть первая. Модель нарушителя.

insiders

Здесь мы поговорим об умышленном нанесении ущерба фирме собственными сотрудниками: кража информации, кража денег, нанесение умышленного вреда, шантаж и т.п. Могут ли ваши собственные сотрудники нанести вам вред, используя ваши информационные активы? Насколько серьезна угроза? Для начала необходимо, пусть в самых общих чертах, описать «модель нарушителя» и активы, в отношении которых угроза осмыслена и эффективна. (см. также статью «Угрозы безопасности. Без мифов.»)

Инсайдер – это не злой человек. Часто приходится слышать фразы: «у нас дружный коллектив», «мы доверяем своим сотрудникам», «наши сотрудники – порядочные люди». Увы, это не аргумент. Типичный инсайдер не обидит котенка и не отнимет у бабушки кошелек. Люди вообще не совершают поступков, которые, с их точки зрения, являются аморальными. Они «не делают ничего плохого». Все дело в «оправдании».

Одна девушка работала в розничном отделении крупного банка. А еще она встречалась с парнем, который работал частным кредитным брокером, то есть, подыскивал клиентов, нуждающихся в кредите, для различных банков, конечно, за комиссионный процент. Для кредитного брокера поиск клиентов — это мероприятие затратное. Нужно тратиться на рекламу. Подавляющее большинство «откликов» — пустой номер. А в крупном банке, с миллионными затратами на рекламу и мощной службой предварительной проверки заявок на кредит, есть очень ценный ресурс – списки клиентов, прошедших предварительное одобрение кредитной заявки. Ага. Девушка стала передавать своему парню контактные данные «хороших» клиентов. Парень звонил клиентам и предлагал кредиты на «более выгодных условиях».

Вопрос: можно ли считать поступок девушки аморальным? Конечно нет. Скорее можно сказать, что она помогала людям. Вместе со своим другом, они делали общественно полезное дело: предоставляли людям возможность выбора. Да, девушка получала от этого некоторую выгоду, которая была небольшим дополнением к ее низкой зарплате за тяжкий труд. Но она «не делала ничего плохого».

Второй вопрос: отчего же в банке так расстроились, что попросили уволиться с работы не только эту девушку, но и ее непосредственного начальника и начальника этого начальника? Жадные они, за копейку удавятся.

Я нисколько не ерничаю. Все, что я описал, это нормальная точка зрения нормального человека. Владельцу бизнеса ее трудно понять. Ведь это его деньги украли, причем люди, которым он еще и платит за работу. Это обстоятельство мешает ему оценить ситуацию с «общечеловеческой» позиции.

Очень часто в детективах встречается такой персонаж: клерк, который взял из кассы компании деньги «на время», чтобы заработать на каком-нибудь «верном деле», но не смог вернуть. Он злодей? Нет. Он взял «временно ненужные деньги» и у него не было мотива их украсть. Как говорит один мой товарищ: «красть нехорошо, спросить неудобно, надо взять незаметно». Кстати, по принципу этого клерка работает вся банковская система. Временно ненужные деньги, собранные в виде депозитов, банки «пускают в оборот». И точно так же не всегда возвращают на место. То есть, это не преступление, это бизнес. Правда, банки обещают клиентам процентные доходы на депозиты, но обещать не значит жениться.

Ну, и напоследок заметим, что русский писатель, Федор Достоевский, вывел универсальную формулу морального оправдания всех вообще преступлений, включая тяжкие: «тварь я, дрожащая, иль право имею?». Я все это написал потому, что очень многие думают, что «внутренний нарушитель» должен быть мотивированным злодеем. Это почти никогда не так. Так же, как люди, которые нарушают правила дорожного движения, никогда не имеют намерений кого-нибудь убить или покалечить. Здесь тоже действует формула: «тварь я, дрожащая, иль право имею?». Следует заметить, что все вышесказанное не отменяет возможности, что инсайдер является «орудием» профессиональных преступников. Но здесь опять инсайдер – не злодей. Злодей снаружи.

Таким образом, «склонность к злодейству» никогда не является существенным фактором в «модели нарушителя» для инсайдера. И самая справедливая и заслуженная характеристика «честный человек» никого не вычеркивает из области применения модели.

Определяющим фактором в «модели нарушителя» для инсайдера является «круг возможностей» для нанесения ущерба. То есть, вы должны для каждой служебной роли определять ее возможности по доступу к вашим информационным и финансовым активам. Что может сделать человек: узнать? скопировать? подменить? испортить? воспользоваться? Может ли он сделать это самостоятельно или необходим «сговор» с другим сотрудником? Может ли он сделать это незаметно? В какой степени незаметно? Это вообще нельзя обнаружить иначе, как случайно? Это можно будет понять по уже наступившим материальным последствиям, которые обязательно будут видны? Эти последствия обнаружатся немедленно или через год? Именно это определяет степень угрозы со стороны нарушителя.

Нарушитель тем более опасен, чем шире его доступ к ресурсам, чем самостоятельнее он в этом доступе, чем слабее принятые в компании процедуры контроля за целевым использованием ресурсов. Самой опасной является ситуация «полного доверия». Ее нужно избегать. И совсем необязательно методами «слежки». Например, если отчет о ваших финансах, вам всегда предоставляет один и тот же человек, следует иногда освобождать его от этой обязанности. Можно отправить его в отпуск, а в это время попросить его заместителя подготовить нужный вам отчет. О методах снижения рисков мы поговорим в третьей части настоящего трактата. А сейчас о том, когда риски повышаются.

Круг возможностей – важнейший «объективный» фактор угрозы. Но есть еще ряд «субъективных» факторов. Из моих рассуждений о том, что инсайдеры не злые люди, вовсе не следует, что из модели нарушителя можно исключить личность. Нет. Можно не принимать в расчет злонамеренность, только и всего. Но личность исключить нельзяникак. Возможность всегда реализуется вполне сознательными действиями. Когда мы говорим о личности, вступает в свои права целая наука, психология. Я не психолог. Мои знания в этой области ограничены общим университетским курсом, некоторым самообразованием и жизненным опытом. Но некоторые важные факторы риска я могу указать.

Возраст сотрудника. Молодые люди в возрасте 20-30 лет, не имеющие собственной семьи, представляют собой серьезный риск. В этом возрасте очень слабо развиты такие личностные качества, как уважение к чужой собственности и результатам чужого труда, чувство ответственности за свои поступки (за исключением ответственности перед друзьями). Напротив, сильно развито стремление быть членом некой одобряющей тебя группы (компании друзей), приоритет ценностей этой группы над ценностями «остального общества», радикализм, в том числе, в желаниях. Да, это подростковые ценности, но до 30 лет они все еще очень важны. Молодой человек может нанести ущерб компании, руководствуясь совсем идиотским мотивом, например, «мы с друзьями хотели попробовать». Это вроде как маленький ребенок хотел попробовать разбить чашку. Кроме того, для молодежи свойственны перманентные материальные проблемы. Пусть даже надуманные: «моя машина не нравится девчонкам».

Личные финансовые проблемы. Например, наличие непогашенных кредитов, высокие постоянные расходы (аренда жилья, необходимость содержать семью, платить за обучение детей). Хуже всего страсть к игре на тотализаторе или на бирже. Как правило, работодатели предпочитают людей в стесненных финансовых обстоятельствах. Им можно меньше платить, можно требовать «сверх нормы», можно начальственно покрикивать и даже домогаться сексуально. Но далеко не все люди в условиях стресса ведут себя пассивно. Для некоторых формула «тварь я, дрожащая, иль право имею?» очень жизненна.

Неуверенность в статусе внутри компании. Это очень часто происходит, например, при смене руководства компании. Или, когда меняется рыночная ситуация, и компания «теряет рынок». «Я столько лет горбатился на этих …, а теперь …». «Тварь я, дрожащая, иль право имею?». Мне приходилось наблюдать удивительное поведение взрослых и ответственных людей в таких ситуациях.

Вот эти три личностных фактора, на мой взгляд, являются важнейшими. Их наличие надо отслеживать, если угроза инсайда является существенной для вашей компании. А это почти всегда так. По количеству атак инсайдеры уже давно в аутсайдерах :), но по стоимости вреда они еще о-го-го. Особенно они сильны в сфере услуг, нет, не в прачечной, а в финансовых услугах, риэлтерских компаниях, юридических услугах, медицинских компаниях. В следующей части посмотрим на информационные активы, которые

Реклама

Инсайдеры. Часть первая. Модель нарушителя.: Один комментарий

  1. Уведомление: Защита информации в SMB. Введение. | ESGUARDIAN

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s