Как обнаружить
потенциального инсайдера?

Слово «инсайдер»», используемое по отношению к сотруднику, который крадет информацию в своей компании и продает ее конкурентам, достаточно давно и, без сомнения надолго, вошло в нашу речь.

Инсайдерские атаки — утечки персональной и конфиденциальной информации — среди прочих киберпреступлений имеют самый высокий уровень латентности (сокрытия) и самый низкий показатель раскрываемости.

В зависимости от степени подготовленности «слива» можно разделить инсайдерство на:

• Ситуативное: Новый сотрудник выходит на работу, у него есть возможность украсть, моральные принципы ему это позволяют, и он совершает мошенничество. Или другой пример: специалист работает в компании существенный период, но не получает должного признания. Или же получает его, но не в той мере, на которую рассчитывал. Естественно, сотрудник не доволен. Совершая кражу информации, он пытается «компенсировать» себе то, чего, по его мнению, был незаслуженно лишен.
• Спланированное: Наиболее простой пример — это промышленный шпионаж. О нем известно большинству современных людей из фильмов, книг, реже — из прессы. Менее типичный пример, когда сотрудник «сливает информацию» из мести. Он четко планирует свои действия, он знаком с тем, как его будут ловить, знаком с внутренними протоколами безопасности. Такое преступление сложнее всего раскрыть.

Может быть, все дело в психологии?

Инсайдер — прежде всего мошенник. Казалось бы, личностные детерминанты мошенничества (факторы, определяющие склонность к нему) в силу давней истории и распространенности этого явления должны были быть изучены психологической наукой вдоль и поперек. Но не тут-то было…

Для изучения личности преступника до середины 70-х годов XX века в юридической психологии традиционно использовались теории и методы диспозиционального направления (структурная теория Г. Айзенка и факторная теория Р. Кеттела). В теории Г. Айзенка криминальность рассматривается как черта личности, причем главный акцент сделан на активно асоциальном, психопатическом преступнике. Мошенники в этой теории не рассматривались.

Р. Кеттелу в своей факторной теории так же не удалось определить комбинации основных или производных черт личности, которые являлись бы детерминантами преступности вообще и мошенничества в частности. Есть и другие теории, которые пытались раскрыть внутренние нравственно-психологические факторы мошенничества (бихевиористская модель С. Альбрехта, Дж. Венца и Т. Уильямса; когнитивные теории Ж. Пиаже, Л. Колберга, Дж. Тапп). Однако ни одной не удалось подтвердить связь морального и когнитивного развития у мошенников и других ненасильственных преступников.

Окончательный диагноз таков: наука пока не может дать убедительного объяснения существующему противоречию между высоким общим уровнем личностно-профессионального развития мошенников и их ориентацией на получение материальных благ аморальными и криминальными способами.

Если наука бессильна, то как определить, кто из сотрудников склонен к инсайду?

Переформулируем. Если не получается прямо сказать мошеннику в лицо: «Ты — инсайдер!», то, может быть, стоит тихо отметить про себя «наличие некоторых склонностей у некоторых личностей».

Склонность человека к мошенничеству, как отметил Кристофер Барнс, можно выявить, изучив его личностные нравственные ценности, особенности принятия моральных решений, саморегуляции, определения его отношения к себе, другим людям, к труду, к деньгам и к нормам закона.

Людей, склонных к мошенничеству, отличают:

• доминирование универсальных ценностей, сложившихся на основе индивидуализма и прагматизма;
• алчное отношение к деньгам;
• отрицание значения честного и производительного труда;
• игнорирование традиционных нравственно-правовых норм;
• авантюризм моральной саморегуляции;
разрушительный цинизм;
• импульсивность и склонность к риску при принятии решений;
• эгоизм.

Высокое развитие этих признаков говорит о психологической готовности человека к мошенничеству. Но важно помнить и о здоровой атмосфере внутри самой компании.

«Деловой мир оказывает страшное давление, принуждая действовать вопреки правилам здорового и подлинного социума — и постепенно моральные основы человека разъедаются. Он привыкает жить по лжи, верить в одно, но делать другое, он понимает, как важны долгосрочные отношения с клиентом, но действует так, словно во всем мире важно только одно: квартальный отчет», — пишет Роджер Мартин.

«Бытует мнение, что неэтичное поведение на работе — удел нескольких испорченных людей. Это заставляет многие организации не замечать того очевидного факта, что все мы рискуем поступить нечестно под действием определенных обстоятельств, даже если обычно воспринимаем честность как норму. И в то же время для предотвращения неэтичного поведения не требуются радикальные меры», — отмечает в своем исследовании Франческа Джино.

Итак, что же нужно для предотвращения мошенничества и инсайда на работе?

Как лучше все организовать?

Для проведения тестирования кадровыми отделами используются специализированные программные продукты, которые автоматически анализируют и интерпретируют данные, что значительно упрощает процесс диагностики.

В общем виде работу можно строить по алгоритму:

• кадровый отдел проводит тестирование при приеме на работу/в процессе очередной аттестации;
• данные тестирования передаются в службу обеспечения информационной безопасности;
• работник службы ИБ определяет сотрудников, склонных к инсайду;
• если сотрудник — обладатель ярко выраженного типа, входящего в «группу риска», то обеспечивается первоочередный контроль его деятельности.

Что делать помимо этого?

1. Четко очертите условно относимые к группе риска должности: кто работает с конфиденциальной информацией, персональными данными, документами, содержащими коммерческую тайну и т. п.?

2. Разработайте нормативные документы, в которых разъясняется, как работникам этих должностей следует обращаться с конфиденциальными данными.

3. Определитесь с профилем должности: какие компетенции кадровики хотели или не хотели бы видеть у специалиста на конкретной позиции.

4. Подберите методики для диагностики морально-психологических качеств.

5. Принимайте превентивные меры: используйте решения для предотвращения утечек данных (DLP-системы).

6. Внедряйте политику защиты данных, отслеживая неавторизованное использование конфиденциальной информации. Информируйте сотрудников о нарушениях — это поможет повысить осведомленность персонала, удерживая их от кражи данных.

7. Проводите постоянную разъяснительную работу: наличие одной только политики, без понимания и эффективного применения их сотрудниками, не даст результата.

8. Помните, что краже предшествуют ключевые предпосылки: основные проблемы, связанные с мотивацией инсайдера, возникают еще до того, как он совершает кражу.

9. Не упускайте из виду, что сотрудника могут «подталкивать к действию» другие работники. Это часто происходит в случае понижения по службе или когда карьерные ожидания не оправдываются.

10. Добейтесь информирования руководства, HR-отдела и персонала, отвечающего за информационную безопасность, обо всех случаях, когда действующий или уволенный сотрудник обращается к критически важным данным, загружает их нетипичным образом и т. п.

Следуя этим правилам, можно в значительной степени обезопасить себя и свою компанию от превращения людей, потенциально склонных к инсайду, в полноценных, состоявшихся инсайдеров.