Психология на службе информационной безопасности

Психология на службе информационной безопасности

Человеческий фактор в информационной безопасности – компонент постоянный и по-прежнему непредсказуемый. Как бы не развивались технологии, невозможно точно знать, что происходит в голове человека, как созревает план мошенничества или отследить, что служит толчком для противоправного поступка. Прибавим к этому техническую подкованность инсайдеров и других злоумышленников, и станет очевидно, что пора выходить на принципиально иной уровень в работе по защите корпоративной информации. Мы убеждены, что им может стать профайлинг. Но обо всем по порядку.

name='more'>

Как психология и профайлинг уже используются в IT-технологиях?


IT-гиганты давно обратили внимание на эмоции и психологические особенности людей. Технологии в это области развиваются уже 15 лет. Основной заказчик – маркетинг, основная цель – увеличение продаж. Остается только оцифровать и проанализировать данные о человеке: настроение, голос, выражение лица, поза, направление взгляда – все что так или иначе можно отследить и «измерить». Так рекламные и маркетинговые технологии становились более эффективными, работающими не с гипотезами о поведении покупателей, а с их реальными эмоциями и мыслями.

Конечно, технологии эти не из дешевых. Например, цена когнитивной системы IBM Watson, которая может распознавать эмоциональные состояния человека и на основе этого отвечать ему, стартует от 360 долларов в год на одного пользователя. Однако эти наукоемкие решения, благодаря активному использованию в бизнесе и в рекламной сфере в частности, хорошо окупаются. В супермаркетах Tesco видеокамеры считывают настроение посетителей и в зависимости от результата показывают ему подходящую рекламу. Это значительно повышает релевантность сообщения, а значит, покупки.

От определения эмоций разработчики постепенно перешли на сбор и анализ информации о характере человека, данных из соцсетей и других источников. Стало возможным спрогнозировать и даже запрограммировать поведение человека, исходя из этой информации. Такие возможности оказались привлекательны для политической сферы.

Стало возможным проводить исследования перед выборами или другими важными политическими событиями, чтобы делать более точную оценку ситуации и прогнозировать результаты. Упрощенная схема выглядит так: создается профиль пользователя, который условно говоря проголосует за нужного кандидата, и профиль пользователя, который не проголосует. Дальше политтехнологи готовят скрипты, как перевести одних избирателей в других. Анализ профилей производится автоматически с помощью технологий профайлинга. Так бизнес и политика поставили психологию себе на службу.

При чем здесь информационная безопасность?


Потребность прогнозировать поведение человека есть и в ИБ-сфере. DLP и SIEM -системы анализируют информацию, ее движение и сигнализируют о нарушении. Используя определенный алгоритм, они оценивают событие и определяют его критичность для безопасности. В целом технология работает хорошо, но и здесь нельзя избежать ложных сработок, не говоря уже о важности работы на упреждение.

Чтобы уменьшить эти погрешности и увеличить шансы на предупреждение инцидента мы решили использовать технологии профайлинга в информационной безопасности. По сути это уникальные разработки, которых нет ни в России, ни в мире. Даже самой идеи профилирования в рамках ИБ нельзя встретить нигде. Это направление активно прорабатывается применительно к соцсетям, тому же маркетингу, но безопасность стояла особняком. При этом DLP собирает колоссальные объемы информации о пользователях, ее остается лишь проанализировать и «адаптировать» под задачи защиты бизнеса. 

За основу мы взяли текст. Текст отражает мышление человека, характер, особенности психотипа. Текст присутствует везде в переписке сотрудника от корпоративной почты до чатов и форумов. Нужно лишь отделить официальный компонент таких текстов от неформального. Потому что только последний может характеризовать личность человека. Мы все имеем особенности речи устной и письменной, по которым можно определить наш психотип, поведение и реакции на те или иные ситуации. «Портрет» пользователя позволит специалисту по безопасности видеть, какие риски связанны с тем или иным сотрудником, какие его качества могут спровоцировать на противоправные действия, кому следует ограничить доступ к чувствительной информации.

Однако эта работа не так проста, как может показаться на первый взгляд. Раньше никто ничего подобного в мировой практике не делал, потому нет опыта и стандартов, на которые можно опереться, которые можно хотя бы изучить. Работа ведется «с нуля».

Новая технология – новые сложности


Первая сложность, с которой мы столкнулись, – отделить полезную информацию от бесполезной. Большой пласт работы был посвящен тому, чтобы определить: что же все-таки анализировать? Как правильно собрать информацию, чтобы не потерять важное и не захватить бесполезное?

Следующей сложностью стали особенности русского языка, а именно то, что в нем очень много похожих по смыслу и по написанию слов. А еще есть огромное количество синонимов, которые иногда не принципиально отличаются (как хорошо и неплохо). Но с другой стороны, их разница может быть принципиальной. Потому мы провели большую работу по созданию специального алгоритма для решения этой проблемы. 
 
Еще одна сложность связана с тем, что люди часто пишут, не соблюдая грамматические законы, делая ошибки, опечатки, используя смайлы, которые могут заменять целые предложения. Под это тоже пришлось создавать скрипты, чтобы учесть всевозможные отклонения от стандарта. 

В сущности, мы провели кропотливую предварительную работу по нормализации текста, которая включает морфологический, структурный, семантический и другие анализы. Не обошлось и без ошибок. Всего у нас их было порядка 20. Я привел только некоторые сложности. И, конечно, охватить все мы пока не смогли. Год работы для такой большой задачи – только начало, однако уже сейчас можно оценить преимущества технологии.

Первые результаты


Всего рассказать я не могу, так как планируем патентовать технологию.
Сейчас мы ориентируемся на большую пятерку 5PFQ (Пятифакторный личностный опросник Р. МакКрае и П. Коста) и психотипы. С помощью модуля профайлинга мы можем нетестово с достоверностью в 70-80% определить 8 психотипов, в каждом из которых порядка 20 личностных качеств. Для корректной работы технологии профайлинга в составе DLP достаточно 20 тысяч слов. Чем их больше, тем точнее будет результат.

Что это дает специалисту по безопасности? Предварительное прогнозирование рисков. Лучшее понимание каждого сотрудника и его поведения: особенности восприятия ценной информации, отношение к ней, склонность к нарушению регламента, более плотная работа с группами риска – все это может стать ключом к работе на упреждение. Модуль профайлинга позволит серьезно сократить время расследования инцидентов. ИБ-специалист сможет прогнозировать риски и ставить на более тщательный контроль людей склонных к нарушениям различного рода.

Использование для этих целей текста – только первый шаг. Так же можно анализировать аудиопоток, видеозаписи, социальные сети и прочие источники. Техническая возможность для этого есть. Однако сам процесс трудоемкий и долгий. Но в планах такие задачи есть: подключить другие источники информации и контента, чтобы сделать профиль сотрудника более развернутым, а работу ИБ-специалиста более эффективной.

Научный руководитель направления профайлинга компании «СёрчИнформ» Алексей ФИЛАТОВ
Alt text

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.