О нем размышляет эксперт Центра продуктов Дозор ГК «Солар» Виталий Петросян
Нетипичные сценарии применения поведенческого анализа: разбор кейсов
Как известно, в составе присутствующих на российском рынке DLP-решений возможности мониторинга поведения, а также выявления эмоциональных особенностей в личности и ха-рактере присутствуют и совершенствуются на протяжении последних нескольких лет. Каждое из представленных решений имеет ряд своих персональных особенностей, качественно отличающих его от аналогичного. Лишь функциональный пользователь с учетом личного опыта и персональных приемов, установок, условий труда и деятельности организации способен однозначно определить для себя применимость и пользу от набора функций, присутствующих в том или ином решении. Причем, с учетом продолжительности присутствия на рынке DLP с модулями поведенческой аналитики, сформировалась и общность специалистов, эксплуатировавших за период профессиональной деятельности различные решения. Некоторые из представителей данной общности способны не только высказать свои предпочтения, но и, поделившись кейсами, подтвердив актуальность имеющихся подходов, предложить свои.
Условно всех специалистов, имевших опыт эксплуатации различных по типу модулей поведенческой аналитики, можно разделить на две категории:
- Пилотировали/эксплуатировали все или некоторые из представленных основных решений и в каждом из них отмечают актуальные для себя функции. Тем самым специалисты подтверждают профессиональную применимость различных подходов с отданием предпочтения какому-либо конкретному.
- Пилотировали/эксплуатировали все или некоторые из представленных основных решений, но приняли решение не вводить либо исключить их из практики деятельности организации по различным причинам (указание руководства, отсутствия острой необходимости, отсутствие средств, времени или штата на анализ дополнительных данных и т.д.).
И если вторая категория пользователей — работники и организации, которые в последующем еще наверняка вернутся к практике использования данных поведенческой аналитики, то первая категория — лица и организации, вырабатывающие свой неповторимый и уникальный опыт работы с данными поведенческой аналитики за прошедший период.
С согласия данных активных пользователей и хотелось бы продемонстрировать эволюцию практики эксплуатации данных поведенческой аналитики.
На первоначальном этапе с учетом проведенных пилотов и продемонстрированных методик осуществлялся мониторинг отдельных лиц — подконтрольных работников, групп работников (подразделений), лиц, включенных по поведенческой особенности в список (паттерн).
Такая практика, безусловно, приносила свои положительные результаты, качество которых значительно повышалось с учетом знания эксплуатирующим специалистом специфики внутренних процессов самой организации. В ряде случаев, что вполне закономерно, анализ данных позволял работать на предупреждение наступления неблагоприятных последствий. Тому способствовали паттерны (преобладание внешней активности, возможные инсайдеры, контакты с неизвестными) или специальные маркеры личности, присваиваемые в иных DLP-системах, благодаря психолингвистике, определению типа характера и пр.
В последующем, по мере эксплуатации и роста практических навыков построения версий и их проверки, специалисты стали отделять случаи отнесения личности к «лидерам мнений/коллектива» только лишь из-за частого упоминания в переписке слова, например, «срочно». В ряде случаев, и это естественно, указание в переписке на срочность позволяет себе не только руководитель процесса (лидер), но и рядовой секретарь, просящий не запускать процесс.
В аналогии с паттернами, примером будет дифференциация лиц, включенных в паттерн «работа ночью». Сопоставление списка лиц, включенных в паттерн, с реальной ситуацией, происходящей в организации, позволяет понять, что лица, включенные в паттерн — не потенциальные нарушители, а работники ночных смен (на производстве) и, дополнительно, например, бухгалтеры, которые значительно задержались на работе впервые за длительный период времени в таком значительном составе по причине «латания дыр» или «закрытия хвостов» перед длительными праздничными днями или в конце отчетного периода.
С приходом понимания соотношения между происходящими в организации рабочими процессами и предложенными к анализу поведенческими данными, специалисты по безопасности «пристреливают прицел» в способах восприятия самих данных. Например, в ряде организаций-заказчиков DLP Solar Dozor с модулем поведенческой аналитики UBA, специалисты по безопасности так четко соотносят внутренние процессы организации, списки лиц, включенных в паттерны, должности, стаж работы, специфику условий труда и перечень решаемых работником вопросов, что порой выявляют очевидные нарушения в огромном массиве неочевидного и на первый взгляд незначимого.
Так, например произошло, когда в профилактических целях дошла очередь обратить внимание на целое подразделение — бухгалтеров отдельно взятого и достаточно удаленного филиала. В общем списке работников подразделения внимание привлек не тот, кто, возглавляя список, числился во множестве паттернов, имел разнообразные персональные особенности, а наоборот, тот, кто не был включен в значимые паттерны, не выделялся иным образом, но выделялся из общего массива работников подразделения своей «монотонной идеальностью» на протяжении длительного времени. Таким работником оказался мужчина-рядовой бухгалтер со стажем работы в организации более 7 лет.
Как известно, переписка бухгалтера организации может быть весьма разнообразна как внутри организации, так и вовне (контрагенты). Вычленить из большого массива данных ту переписку, которая могла бы вызвать подозрение затруднительно. Надеясь на это, рассматриваемый бухгалтер осуществил пересылку вовне на бесплатный адрес электронной почты файл, на содержании которого DLP-система просто не имела никакого шанса отреагировать, потому что соответствующий класс защищаемых сведений не был предварительно описан.
Файл содержал сведения о работе привлекавшейся адвокатской конторы из Москвы для защиты интересов организации в региональном филиале (итоги работы, количество споров, продолжительность, понесенные расходы, в том числе и командировочные). Данная информация была полезна получателю письма — адвокату региональной адвокатской конторы, для более успешного участия в ежегодных торгах на представление интересов. Располагая подобного рода сведениями, региональные юристы приобретали возможность делать верные шаги на торгах, и знали бы предел понижения цены московских юристов.
Однако при вычленении из общего массива в размере 200 отправленных писем с помощью фильтра «С неизвестными контактами» на графике внешней активности отобразились только 2 письма, при проверке получателя которых и был установлен местный адвокат. Очевидно, что после изобличения фееричная семилетняя карьера бухгалтера прервалась.
И не стоит удивляться легкости и наглости выявленной схемы. Опытные специалисты всегда негласно подтвердят, что чем крупнее организация, тем больше нарушений.
В другом случае довольно длительной эксплуатации модуля UBA специалист по безопасности действовал в условиях правильной оценки объективной реальности: не сидел, сложа руки, ожидая, когда технологии разовьются до контроля модулем UBA еще большего количества каналов или искусственный интеллект выгонит его с работы. Специалист работал с тем, что есть здесь и сейчас, потому что приказы отдают и заработную плату платят тоже здесь и сейчас. В распоряжении имелась связка DLP+UBA. В модуле UBA специалист выработал свой собственный полезный для огласки читателям прием. В отличие от DLP, которая ловит только по уже ранее описанным правилам и словарям, мониторинг действий в UBA позволяет попытаться выявить и пресечь на ранней стадии потенциальные вредоносные действия.
Особенностью подхода являлось использование чередованием двух графиков: внешняя активность по корпоративной почте и внешняя активность по мессенджеру в привязке к общим датам.
Показатели внешней активности по корпоративной почте. Внимание на дату- 1 августа.
На графике внешней активности по корпоративной почте внимание привлекла дата 1 августа, в которую работником было отправлено большее количество писем, чем в другие дни контролируемого периода. На графике же внешней активности, но уже по мессенджеру в этот же день вдруг обнаружились коммуникации «С неизвестными контактами», чего ранее не практиковалось наблюдаемым работником.
Показатели внешней активности по мессенджеру «С неизвестными контактами». Внимание на дату- 1 августа.
По корпоративной почте обсуждались потенциальные коррупционноемкие контракты в строгом соответствии с нормами права и высокими корпоративными стандартами. В мессенджере же обсуждались те же сделки, но уже с неприкрытым обсуждением способа «до-полнительного нетрудового заработка».
С учетом естественных изъятий продемонстрированный материал однозначно указывает на наличие умысла совершения неправомерного действия, но важно не само нарушение, а прием его выявления: использование чередованием двух графиков внешней корпоративной почты и мессенджера в привязке к общим датам.
Может сложиться ошибочное представление, что все системы контроля и мониторинга нужны лишь для наказания и изобличения всего нелицеприятного. В ряде организаций-наших заказчиков компетенция специалистов по безопасности, их опыт, в том числе и взаимодействия с иными подразделениями, позволяет смотреть на происходящие события в организации и для целей выявления положительных явлений: взаимовыручки, усердия, добросовестного отношения к общему делу.
Так, с учетом сложности выдачи служебных материалов, у нас имеется лишь одна возможность, но весьма наглядная, продемонстрировать выявление модулем UBA случая добросовестного отношения к труду.
В процессе мониторинга данных ответственного работника обратили внимание на факт, выбивающийся из его общей персональной устоявшейся практики — получение писем в ночное время.
Видя в нестандартности ситуации потенциал к выявлению рабочих сложностей, просмотрели ночное сообщение и выявили неожиданный и приятный факт проявленного подчиненным работником, и не одним, в инициативном порядке усердия в труде.
Из ленты переписки видно, что группой работников организации предпринимается в ускоренном режиме весь возможный массив действий, производится реальная оценка возможностей, в инициативном порядке информируется руководитель подразделения. И многие из действий при том производятся за рамками нормального утвержденного служебного времени.
Продемонстрированный случай свидетельствует о благоприятном климате в коллективе, высоком уровне профессионализма, ответственности, отдаче, правильном распределении ролей и даже, на будущее, хорошем кадровом потенциале карьерного роста работников и их обоснованном материальном поощрении.
Вывод: предлагаемый на сегодняшний день инструментарий модулей поведенческой аналитики — рабочий инструмент специалиста, желающего работать и выдавать результат здесь и сейчас. Специалист понимает, что технологии развиваются и совершенствуются постепенно, процесс этот бесконечен, а работа, протекающая в данный момент требует не простого фиктивного мониторинга по массе параметров, а эффективного выявления и реагирования. В этой связи специалисты по безопасности применяют, проверяют и совершен-ствуют не просто шаблоны, но и свои личные наработки, часть из которых мы и попытались продемонстрировать.