В сентябрьском номере журнала Information Security директор по безопасности компании «СёрчИнформ», эксперт-профайлер Иван Бируля рассказал о таком, казалось бы, нетрадиционном для сферы ИБ методе, как профайлинг.

Сегодня в приоритете у служб безопасности – работа на упреждение: выявление предпосылок возможного инцидента, а не работа с его последствиями. Однако далеко не всегда возможно обнаружить потенциальных инсайдеров классическими методами и инструментами, даже такими проверенными и надежными, как DLP-системы. На то есть несколько причин:

• технические средства защиты информации бессильны перед ухищрениями пользователей;
• инциденты и преступления зачастую не оставляют следов;
• доступность информации повышает уровень ИТ-компетенций пользователей;
• защищаться всегда тяжелее, чем нападать. Сложно предугадать, как поведет себя преступник, какую мошенническую схему организует.

Однако это не снимает со специалистов по информационной безопасности важных задач. Им необходимо:

• создать эффективный механизм прогнозной оценки поведения пользователя;
• найти простой, быстрый и эффективный способ расследования инцидентов;
• правильно определить и ранжировать уровень человеческого риска.

Важно также помнить, что ключевым параметром расследования инцидентов, связанных с человеческим фактором, становится время.

Помогут решить эти задачи и качественно улучшить работу на упреждение инструменты из смежных областей, такие как профайлинг. Он включает набор инструментов нетестовой психодиагностики, позволяющий быстро и надежно «прочитать человека», понять его индивидуальные особенности и эффективно использовать их в коммуникации, прогнозировать поведение.

Инструментарий профайлинга:

• анализ психолингвистики;
• определение типа характера;
• применение стратегии и тактики коммуникаций;
• понимание мимики и пантомимики (эмоции);
• выявление стратегий мышления и поведения.

Профайлинг: как его применять?

Профайлинг возник на стыке психологии и криминалистики. В частности, элементы данной технологии используются для раскрытия уголовных преступлений и антитеррористической деятельности.

Вот свежий пример из моей практики. На одном из приисков добывающей компании произошла крупная кража денежных средств. Следы преступления обнаружить не удалось, а под подозрение попало два десятка человек. Эксперт-профайлер, используя методы группового профайлинга, за половину дня сузил количество подозреваемых до двух человек, а в течение следующего дня не только получил признательные показания, но и заставил виновного вернуть всю украденную сумму.

Профайлинг позволяет:

• оперативно, без применения каких-либо тестов получать важную информацию о сотруднике, его ценностях, убеждениях, прошлом опыте, профессиональных качествах и коммуникативных особенностях;
• определять криминальные тенденции в характере, исходя из разных типов преступлений и инцидентов в ИБ;
• получать дополнительные инструменты в расследовании инцидентов и преступлений в ИБ;
• рассчитывать человеческий риск, проводить компенсационные мероприятия;
• составлять прогноз поведения сотрудников для стандартных, критических и стрессовых ситуаций;
• рационально применять базовые психологические принципы подбора, отбора, увольнения сотрудников, исходя из требований безопасности.

Несмотря на очевидную эффективность, проведение подобной работы «вручную» станет трудозатратным занятием. Ведь регулярное профилирование даже 30–40 сотрудников компании будет занимать крайне много времени.

DLP и профайлинг – симбиоз технологий

Автоматизация прогнозной оценки и включение инструментов профайлинга в функциональность DLP – такую амбициозную задачу поставила перед собой компания «СёрчИнформ».

Кроме сокращения трудозатрат, автоматизация профайлинга позволяет не спугнуть осторожного инсайдера, избежать нагнетания обстановки в компании, проводить расследование и предварительную диагностику, не привлекая лишнего внимания персонала.

Сейчас компания «СёрчИнформ» проводит исследования в этой области, разрабатывает автоматизированные методы прогнозной оценки поведения пользователей. К концу года компания представит заказчикам готовое решение – технологии профайлинга, встроенные в DLP-систему «КИБ СёрчИнформ».

Реализация этой идеи основывается на психологических особенностях пользователя. Дело в том, что они влияют на то, как человек работает за персональным компьютером. Модуль профайлинг-центра в DLP будет анализировать поведение пользователя, а также отклонения от его обычного состояния. Система будет формировать психологический профиль пользователя по определенным алгоритмам, т.е. возьмет рутинные задачи на себя и значительно упростит работу ИБ-специалисту.

Как начать применять профайлинг в ИБ?

Уже сейчас подразделение профайлинга «СёрчИнформ» обучает клиентов этой технологии в рамках вебинаров и учебных программ, оказывает услуги на территории заказчика, а именно: расследует инциденты, проводит опросные беседы, анализирует их видеозаписи.

Любой ИБ-специалист может обучиться в учебном центре по программе «Определение криминальных тенденций. Профайлинг на службе ИБ» и начать применять новые знания в повседневной работе.

С сентября по ноябрь специалисты по информационной безопасности из России и стран СНГ соберутся на серии практических конференций Road Show SearchInform 2017. Мероприятие пройдет в 20 городах. Эксперты «СёрчИнформ» расскажут о новой функциональности DLP «КИБ СёрчИнформ», автоматизированных методиках профайлинга, поделятся свежими кейсами и расскажут о новинках и тенденциях ИБ-отрасли.