Слово «инсайдер», используемое по отношению к сотруднику, который крадет информацию в своей компании и продает ее конкурентам, достаточно давно и, без сомнения надолго, вошло в нашу речь.
Инсайдерские атаки — утечки персональной и конфиденциальной информации — среди прочих киберпреступлений имеют самый высокий уровень латентности (сокрытия) и самый низкий показатель раскрываемости.
В зависимости от степени подготовленности «слива» можно разделить инсайдерство на:
- Ситуативное: новый сотрудник выходит на работу, у него есть возможность украсть, моральные принципы ему это позволяют, и он совершает мошенничество. Или другой пример: специалист работает в компании существенный период, но не получает должного признания. Или же получает его, но не в той мере, на которую рассчитывал. Естественно, сотрудник не доволен. Совершая кражу информации, он пытается «компенсировать» себе то, чего, по его мнению, был незаслуженно лишен.
- Спланированное: наиболее простой пример — это промышленный шпионаж. О нем известно большинству современных людей из фильмов, книг, реже — из прессы. Менее типичный пример, когда сотрудник «сливает информацию» из мести. Он четко планирует свои действия, он знаком с тем, как его будут ловить, знаком с внутренними протоколами безопасности. Такое преступление сложнее всего раскрыть.
Может быть, все дело в психологии?
Инсайдер — прежде всего мошенник. Казалось бы, личностные детерминанты мошенничества (факторы, определяющие склонность к нему) в силу давней истории и распространенности этого явления должны были быть изучены психологической наукой вдоль и поперек. Но не тут-то было…
Для изучения личности преступника до середины 70-х годов XX века в юридической психологии традиционно использовались теории и методы диспозиционального направления (структурная теория г. Айзенка и факторная теория р. Кеттела). В теории г. Айзенка криминальность рассматривается как черта личности, причем главный акцент сделан на активно асоциальном, психопатическом преступнике. Мошенники в этой теории не рассматривались.
Р. Кеттелу в своей факторной теории так же не удалось определить комбинации основных или производных черт личности, которые являлись бы детерминантами преступности вообще и мошенничества в частности. Есть и другие теории, которые пытались раскрыть внутренние нравственно-психологические факторы мошенничества (бихевиористская модель С. Альбрехта, Дж. Венца и Т. Уильямса; когнитивные теории Ж. Пиаже, Л. Колберга, Дж. Тапп). Однако ни одной не удалось подтвердить связь морального и когнитивного развития у мошенников и других ненасильственных преступников.
Окончательный диагноз таков: наука пока не может дать убедительного объяснения существующему противоречию между высоким общим уровнем личностно-профессионального развития мошенников и их ориентацией на получение материальных благ аморальными и криминальными способами.
Если наука бессильна, то как определить, кто из сотрудников склонен к инсайду?
Переформулируем. Если не получается прямо сказать мошеннику в лицо: «Ты — инсайдер!», то, может быть, стоит тихо отметить про себя «наличие некоторых склонностей у некоторых личностей».
Склонность человека к мошенничеству, как отметил Кристофер Барнс, можно выявить, изучив его личностные нравственные ценности, особенности принятия моральных решений, саморегуляции, определения его отношения к себе, другим людям, к труду, к деньгам и к нормам закона.
Людей, склонных к мошенничеству, отличают:
- доминирование универсальных ценностей, сложившихся на основе индивидуализма и прагматизма;
- алчное отношение к деньгам;
- отрицание значения честного и производительного труда;
- игнорирование традиционных нравственно-правовых норм;
- авантюризм моральной саморегуляции;
- разрушительный цинизм;
- импульсивность и склонность к риску при принятии решений;
- эгоизм.
Высокое развитие этих признаков говорит о психологической готовности человека к мошенничеству. Но важно помнить и о здоровой атмосфере внутри самой компании.
«Деловой мир оказывает страшное давление, принуждая действовать вопреки правилам здорового и подлинного социума — и постепенно моральные основы человека разъедаются. Он привыкает жить по лжи, верить в одно, но делать другое, он понимает, как важны долгосрочные отношения с клиентом, но действует так, словно во всем мире важно только одно: квартальный отчет», — пишет Роджер Мартин.
«Бытует мнение, что неэтичное поведение на работе — удел нескольких испорченных людей. Это заставляет многие организации не замечать того очевидного факта, что все мы рискуем поступить нечестно под действием определенных обстоятельств, даже если обычно воспринимаем честность как норму. И в то же время для предотвращения неэтичного поведения не требуются радикальные меры», — отмечает в своем исследовании Франческа Джино.
Итак, что же нужно для предотвращения мошенничества и инсайда на работе?
Как лучше все организовать?
Для проведения тестирования кадровыми отделами используются специализированные программные продукты, которые автоматически анализируют и интерпретируют данные, что значительно упрощает процесс диагностики.
В общем виде работу можно строить по алгоритму:
- кадровый отдел проводит тестирование при приеме на работу / в процессе очередной аттестации;
- данные тестирования передаются в службу обеспечения информационной безопасности;
- работник службы ИБ определяет сотрудников, склонных к инсайду;
- если сотрудник — обладатель ярко выраженного типа, входящего в «группу риска», то обеспечивается первоочередный контроль его деятельности.
Что делать помимо этого?
- Четко очертите условно относимые к группе риска должности: кто работает с конфиденциальной информацией, персональными данными, документами, содержащими коммерческую тайну и т. п.
- Разработайте нормативные документы, в которых разъясняется, как работникам этих должностей следует обращаться с конфиденциальными данными.
- Определитесь с профилем должности: какие компетенции кадровики хотели или не хотели бы видеть у специалиста на конкретной позиции.
- Подберите методики для диагностики морально-психологических качеств.
- Принимайте превентивные меры: используйте решения для предотвращения утечек данных (DLP-системы).
- Внедряйте политику защиты данных, отслеживая неавторизованное использование конфиденциальной информации. Информируйте сотрудников о нарушениях — это поможет повысить осведомленность персонала, удерживая их от кражи данных.
- Проводите постоянную разъяснительную работу: наличие одной только политики, без понимания и эффективного применения их сотрудниками, не даст результата.
- Помните, что краже предшествуют ключевые предпосылки: основные проблемы, связанные с мотивацией инсайдера, возникают еще до того, как он совершает кражу.
- Не упускайте из виду, что сотрудника могут «подталкивать к действию» другие работники. Это часто происходит в случае понижения по службе или когда карьерные ожидания не оправдываются.
- Добейтесь информирования руководства, HR-отдела и персонала, отвечающего за информационную безопасность, обо всех случаях, когда действующий или уволенный сотрудник обращается к критически важным данным, загружает их нетипичным образом и т. п.
Следуя этим правилам, можно в значительной степени обезопасить себя и свою компанию от превращения людей, потенциально склонных к инсайду, в полноценных, состоявшихся инсайдеров.
Кирилл Медведев