Как правило, когда говорят о кибербезопасности, то имеют в виду различные внешние угрозы, исходящие от злоумышленников. При этом часто упускается из виду или в целях сохранения репутации предприятия, что угрозы для кибербезопасности исходят не только от внешних злоумышленников. К числу лиц, представляющих собой серьезный и растущий риск, также относятся халатные, небрежные, скомпрометированные и злонамеренные пользователи – инсайдеры. Внутренняя угроза (инсайдерская угроза) – это угроза информационной безопасности предприятия, в результате совершения которой различные конфиденциальные данные могут быть раскрыты и дискредитированы непосредственно сотрудниками предприятия, имеющими легитимный доступ к информационным системам, приложениям и базам данных. По определению Федеральной службы по техническому и экспортному контролю РФ, «инсайдер (Insider) – сотрудник предприятия, который причиняет или планирует причинение ущерба активам организации или помогает в такой акции внешнему нарушителю» [1].
Компании стараются не предавать огласке инциденты, исходящие от их внутренних пользователей (пользователей-сотрудников), но статистика свидельствует, что с каждым годом количество инцидентов с участием инсайдеров возрастает, и внутренние угрозы становятся наиболее опасными финансовыми рисками. Так, по статистическим данным, приведённым в [2], за последнее время затраты предприятий, связанные с внутренними угрозами, по всему миру увеличились до 15,38 млн долларов и в процентном выражении за последние три года составили: 2018 г. – 53%, 2020 г. – 60%, 2022 г. – 67%. Большинство (68%) организаций отмечают, что инсайдерские атаки за последнее время стали увеличиваться. При этом «инструментами» для инсайдеров служат: мессенджеры (33%), съёмные носители (25%), облачные хранилища, личная и корпоративная почта (8%). К основным мотивам инсайдеров относятся: финансовая или карьерная выгода, ущерб репутации предприятия.
По разным литературным источникам можно выделить следующие типы инсайдеров:
- недовольные (обиженные) сотрудники, у которых, например, может отсутствовать продвижение по карьерной лестнице, существуют внутренние конфликты;
- психически неустойчивые сотрудники, у которых злоупотребление конфиденциальными данными выражается в виде эмоциональной реакции на внешние стрессовые ситуации;
- вредоносные инсайдеры – сотрудники, которые совершают противоправные действия из побуждений злонамеренного характера;
- внутренние агенты – сотрудники, которые по сути являются шпионами внутри компании;
- халатные и небрежные сотрудники – сотрудники, которые способствуют совершению инсайдерских атак по ошибке или став жертвой фишинга.
Таким образом, приведённые статистические данные свидетельствуют о том, что риск внутренних угроз находится на высоком уровне и продолжает расти. Отсюда следует, что необходимо разрабатывать и внедрять эффективные методы борьбы с этими угрозами. Однако проблема в том, что внутренние угрозы выявить достаточно сложно, т.к. инсайдер имеет законный доступ к конфиденциальной информации предприятия, знаком со структурой данных и, как правило, осведомлён о системе защиты информации. Инсайдеры действуют тихо и незаметно, но при этом могут нанести серьёзный финансовый ущерб и навредить репутации предприятия.
Цель данного исследования заключается в обосновании метода и критерия диагностики риска инсайдерских угроз на основе принципов теории вероятностной оценки смысла. В основу исследования положен метод диагностики интернет-зависимого поведения человека, изложенный в статьях [3; 4]. Основные принципы теории вероятностной оценки смысла описаны в работе [5].
Материалы и методы исследования
Анализ статистических данных и сведений, полученных из литературных источников, показывает, что мотивы инсайдеров имеют, как правило, в основном психологический характер и часто сопровождаются стрессовым состоянием. К ним относятся: выгода, месть, саботаж, провоцирование изменений, самоудовлетворение, идеологические проявления, и просто наличие склонности к злонамеренным поступкам. Отмечается, что перед совершением атаки почти у всех инсайдеров изменялось поведение [6]. Если сотрудник выглядит недовольным, затаил обиду и с чрезмерным энтузиазмом выполняет больше задач сверх установленного норматива, то это может косвенно свидетельствовать о подготовке им инсайдерской атаки. Более подробно существующие классификации инсайдеров и их мотивации рассмотрены в [7].
Для борьбы с внутренними угрозами разрабатываются различные системы аналитики поведения пользователей (UBA и UEBA-системы). Например, в работе [8] предлагается эвристический алгоритм выявления аномалий в деятельности пользователей-сотрудников на основе модели БД NoSQL. К другим примерам можно отнести модели и алгоритмы обнаружения инсайдерских угроз, которые основаны на технологиях больших данных и машинного обучения [9]. Для защиты от внутренних угроз также необходимо совершенствовать организационную и нормативно-правовую базу, включая информирование сотрудников предприятия о ведении надзора за их деятельностью.
Таким образом, из приведённых данных и сведений можно сделать вывод, что психологический портрет инсайдера имеет схожие черты с психологическим портретом интернет-зависимого человека. Не случайно один из признаков инсайдерской угрозы заключается в частых запросах сотрудников на доступ к данным, которые не связаны с их должностными обязанностями. Близость психологических характеристик инсайдера и интернет-зависимого человека даёт основание говорить о проявлении у некоторых типов людей аддикции, которую можно было бы назвать инсайдерской зависимостью. Отсюда следует, что наблюдения за аномальной активностью пользователей-сотрудников на уровне компьютерной сети может помочь выявить внутренний риск, исходящий от них.
В исследованиях по психологии Интернета в качестве одной из объяснительных причин возникновения зависимости от Интернета приводится связь между интернет-зависимостью и опытом потока – психическим состоянием, в котором человек полностью сосредоточен на том, чем он занимается [10; 11]. Состояние потока не ограничивается какой-либо одной сферой деятельности, а распространяется на всё, во что вовлечен человек. Как видно из определения, оба феномена психологически подобны, т.к. связаны с поведенческим повторением каких-либо действий, зависящих от внешних и внутренних психологических факторов, как и инсайдерская зависимость. Поэтому переживание опыта потока также может служить объяснительной причиной возникновения инсайдерской зависимости.
Человек с признаками инсайдерской зависимости, находясь в Сети, очевидно, чаще всего будет обращаться к какой-то одной заведомо определённой теме (повышение по службе, получение финансовой выгоды, наказание за преступную деятельность и т.п.). В этом случае набор слов его поисковых запросов (аномалия) по уровню осмысленности будет отличаться от уровня осмысленности среднестатистического набора слов поисковых запросов в состоянии нормы (норма). Сравнивая осмысленность текущих поисковых запросов с нормой, можно количественно оценить (диагностировать) вероятность риска инсайдерской угрозы, исходящей от зависимого сотрудника.
Уровень осмысленности набора слов поисковых запросов можно определить, используя принципы теории вероятностной оценки смысла. Согласно этой теории, механизм выработки человеком осмысленных умозаключений состоит в силлогизме Бейеса – Налимова [12]. В структуре силлогизма Бейеса – Налимова смысл описывается своей функцией распределения p(µ), мультипликативно взаимодействующей с фильтром p(y/µ). Взаимодействие описывается теоремой Бейеса и может быть представлено в виде формулы
p(μ|y) = kp(y|μ) p(μ), (1)
где p(μ|y) – апостериорная условная функция распределения, описывающая семантику умозаключения; k – константа нормировки.
Формула Бейеса в виде (1), как показал В.В. Налимов, представляет собой силлогизм, т.е. имеются две посылки р(µ) и р(у/µ), из которых следует новая семантика p(µ/y), и в результате из отдельных семантических знаков (слов поисковых запросов) формируется программа осмысленных действий человека и соответствующая ей смысловая форма, такая как текст. Фильтр – это абстрактный элемент мышления, задающий условную функцию распределения p(y/μ).
Для иллюстрации единичного логического умозаключения в качестве примера ниже показана форма априорной функции распределения семантических знаков в виде отдельных слов (рис. 1).
Рис. 1. Формирование логического умозаключения
Как видно на рис. 1, с каждым словом вероятностным образом связано множество смысловых значений. Ранги смысловых значений отложены по оси абсцисс μ и распределены по вероятности их появления p(μ), определяемой по оси ординат. Таким образом, каждому участку смысловой шкалы соответствуют свои вероятности, с которыми они ассоциируются со словом в сознании человека. Смысл, как это показано на рис. 1, заключен между словами. Тогда, если слова выразить в единицах информационной энтропии H, то отрезок между ними (в этом примере отрезок 3) покажет величину смысла – квант смысла ΔH:
ΔH = |H(Слово 1) – H(Слово 2)|.
Квант смысла представляет собой случайную величину. Тогда содержащий смысл код, состоящий из цепочки взаимосвязанных квантов смысла, можно охарактеризовать статистическими параметрами экспоненциального распределения непрерывной случайной величины. Формальным аналогом информационной энтропии для непрерывной случайной величины является дифференциальная энтропия, т.е. понятие смысла оказывается тождественным этому понятию, которое может служить мерой величины смысла М.
Исходя из описанных принципов теории вероятностной оценки смыслов, методика оценки инсайдерской зависимости будет заключаться в том, чтобы рассчитать, сравнить и проанализировать значения диагностических критериев Mi и Ma соответственно текущего и среднестатистического набора поисковых слов и фраз:
Mi ≥ Ma – риск инсайдерской угрозы маловероятен;
Mi < Ma – есть вероятность, что у пользователя-сотрудника наблюдается тенденция к проявлению инсайдерской зависимости и, соответственно, есть риск внутренней угрозы.
Таким образом, уменьшение текущего уровня дифференциальной энтропии поисковых запросов отдельно взятого пользователя-сотрудника (Mi) по сравнению с его среднестатистическим уровнем дифференциальной энтропии поисковых запросов (Ma) в состоянии нормы может говорить о развитии у него инсайдерской зависимости и возникновении риска внутренней угрозы.
Результаты исследования и их обсуждение
Диаграммы функций плотности вероятности ΔH (разность информационных энтропий по Шеннону) для нормы и аномалии показаны на рис. 2 и 3 [3; 4].
Рис. 2. Норма: сплошная линия – среднестатистический набор слов поисковых запросов; штриховая – текущий набор слов поисковых запросов
Рис. 3. Аномалия: сплошная линия – среднестатистический набор слов поисковых запросов; штриховая – текущий набор слов поисковых запросов
Анализ диаграмм, представленных на рис. 2 и 3, показывает, что при норме вероятность появления небольших по величине значений ΔH для набора слов текущих (повседневных) поисковых запросов пользователя-сотрудника будет меньше по сравнению с аномалией. Отсюда можно сделать следующий вывод, что в состоянии инсайдерской зависимости пользователь-сотрудник, который сфокусировался на какой-то одной психологически важной для него проблеме, будет составлять поисковые запросы из однотипных, близких по значению слов. Эти слова будут отражать тот внутренний смысл (замысел), который осознанно или неосознанно будет пытаться реализовать зависимый человек.
В нормальном состоянии пользователь-сотрудник, не скованный довлеющей над ним психологической проблемой, может использовать разнообразные темы и слова для своих поисковых запросов, например такие, как работа, прибыль, отдых, новости, семья, образование и т.п. Для таких запросов требуются большие мыслительные усилия, свобода действий и творческий подход, соответственно, и уровень их осмысленности будет больше. В состоянии зависимости это невозможно. Слова-запросы и темы зависимого человека могут, например, быть такими: уголовное наказание, наказание, ответственность, уголовная ответственность и т.п.
Заключение
Предлагаемая в данной работе методика оценки риска инсайдерских угроз основана на вероятностной теории смыслов. Проявление инсайдерской активности у пользователя-сотрудника рассматривается как зависимость – инсайдерская зависимость, которая сопоставима с интернет-зависимостью. В качестве критерия диагностики инсайдерской зависимости предлагается использовать один из статистических параметров экспоненциального распределения непрерывной случайной величины – дифференциальную энтропию ключевых слов поисковых запросов пользователя-сотрудника в Сети. При снижении, особенно при немотивированном, текущего уровня дифференциальной энтропии поисковых запросов одного из сотрудников предприятия по сравнению со среднестатистическим уровнем дифференциальной энтропии поисковых запросов того же сотрудника может говорить о том, что у него формируется инсайдерская зависимость и, соответственно, риск возникновения внутренней угрозы повышается. Для получения более надёжного диагноза, действительно свидетельствующего о развитии у пользователя-сотрудника инсайдерской зависимости, рекомендуется дополнительно к разработанному методу использовать методы психодиагностики и соответствующее программное обеспечение.