За последние несколько лет системы защиты информации от утечек существенно продвинулись в плане возможностей. Стандартная DLP-система распознаёт передаваемую по сетевым (электронная почта, мессенджеры, социальные сети и форумы и т. д.) и локальным (флэшки, принтеры, диски и т. д.) каналам информацию и, если такое перемещение нарушает корпоративные политики, блокирует передачу (либо сохраняет в карантине для проверки офицером безопасности вручную). Информация об инциденте вместе с копией перехваченных документов сохраняется в архиве. Сейчас же разработчики уделяют всё больше внимания инструментам и технологиям, позволяющим помимо контроля действий с корпоративной информацией выстраивать профили сотрудников с анализом их поведения, а теперь и выявлять эмоции.
DLP-системы нового поколения
Если раньше большинство DLP-систем умели лишь фиксировать утечки данных, но не блокировать, то сегодня полноценные решения могут и то, и другое. Именно эти возможности самые главные и именно они определяют DLP как отдельный класс систем, решающих проблему утечек информации. Но за последние пару лет DLP претерпели изменения в части функциональных возможностей. Как и большинство других ИБ-систем, они эволюционировали. Теперь производители DLP уделяют больше внимание аналитическим инструментам и стараются с их помощью расширить возможности контроля.
Контролировать передачу конфиденциальной информации и вовремя её блокировать в случае серьёзных инцидентов безусловно важно. Иначе предотвращать те же случайные утечки, на которые по мнению аналитиков Zecurion приходится более 70% всех случаев, невозможно. Получается, что DLP-системы идеально подходят под решение такой задачи без привлечения специалистов по ИБ, за исключением настройки политик, так как на этом этапе нужен непосредственно человек. В результате задача по выявлению нарушений политик безопасности полностью перекладывается с плеч специалиста по безопасности на программу.
Однако такой способ контроля не всегда позволяет предотвратить некоторые инциденты. Речь идёт о мошеннической схеме или сговоре сотрудников. Как правило, такие случаи подразумевают цепочку действий, предшествующих непосредственно краже конфиденциальных данных. Именно для таких случаев нужны широкие аналитические возможности контроля действий сотрудников.
Из наиболее популярных инструментов можно выделить встроенную систему поведенческого анализа (UBA), которая по специально разработанному алгоритму анализирует действия сотрудников. Это изменения характера использования различных каналов связи, инциденты, связанные с сотрудником, нарушения политик безопасности и другие показатели. То есть система проводит анализ действий в сети и вычисляет подозрительную активность пользователей. Такой функционал полезен в качестве дополнительного инструмента, помогающего офицерам DLP-системы выявлять угрозы на ранних стадиях. По данным Zecurion, такой инструмент в DLP пользуется популярностью у крупных заказчиков. В основном это банки, страховые компании и другие организации, работающие с большим количеством персональных данных, которые могут быть подвержены инсайдерским угрозам.
В качестве примера можно привести недовольного сотрудника финансовой организации, попросившего слишком большую прибавку к зарплате и получившего отказ. Менеджер не стал увольняться и решил, что может заработать в этой же компании другим способом — точечно собирать и продавать персональные данные клиентов банка. В итоге действия менеджера по подготовке к сбору данных и сам факт недовольства, которым он делился с некоторыми коллегами, остались вне поля внимания DLP-системы, хотя можно было своевременно обнаружить подозрительную активность и направить усилия на решение возникшей проблемы с обиженным сотрудником.
Несмотря на то, что функция поведенческого анализа существенно расширяет возможности DLP и помогает выявлять мошеннические схемы, в некоторых случаях данных о стандартных паттернах поведения и отклонениях от них тоже бывает недостаточно. В качестве дополнительного инструмента может выступать подсистема контроля эмоций.
Как DLP определяет эмоции
Чтобы определить эмоциональное состояние пользователя, система анализирует все его исходящие сообщения в рамках корпоративной сети: письма, сообщения в мессенджерах и социальных сетях и лексику, используемую в них. При этом используются обширные встроенные словари. Метод заключается в определении тональности текста сообщений.
Для определения эмоции система использует словарный список тональной лексики — паттерны, с которым система сравнивает анализируемые слова в исходящих сообщениях пользователя с имеющимся словарным списком тональной лексики, который в свою очередь делится на определённый тип эмоций. То есть DLP определяет по характеру сообщения, к какой из базовых эмоций человека оно более всего относится: радость, ожидание, доверие, удивление, грусть, недовольство, страх или злость.
Как показывают результаты тестирования, аналитические модели новой технологии уже могут с высокой вероятностью понять настроение сотрудников. В некоторых случаях показатель доходит до 90%. Технология распознавания эмоционального состояния допускает возможность использования собственных словарей. Это будет полезно тем компаниям, для которых характерно использование специализированной лексики, имеющей варианты разной эмоциональной окраски. Например, в издательстве будет логичным, если система сможет понять, что слова «писака» или «редакторка», которых нет в стандартном словаре, имеют скорее окрас недовольства или злости, нежели обычные слова «писатель», «редактор».
Стоит отметить, что система отслеживает не только эмоциональное состояние сотрудника в моменте, но и его динамику с течением времени. Анализ этой динамики позволяет DLP-системе выделять тех сотрудников, кто может попасть в группу риска, и взять их на особый контроль. Система также визуализирует информацию о динамике эмоционального состояния сотрудника.
Польза от оценки эмоций персонала
Оценка эмоционального состояния сотрудников по сути является продвинутой версией технологии UBA, которая позволяет более точно оценивать обстановку внутри компании и вовремя реагировать на любые изменения в среде контролируемых сотрудников. Особенно такой инструмент будет полезен департаменту безопасности в специальных случаях, когда требуется повышенное внимание к тому или иному сотруднику. Технология помогает выделять тех сотрудников, кто может попасть в группу риска, и брать их на особый контроль.
Например, в процессе тестирования технологии оценки эмоций в корпоративной сети крупной компании был выявлен следующий случай. У одного из сотрудников отдела разработки DLP-система стала чётко улавливать в коммуникациях эмоции недовольства и злости. Специалисты по ИБ взяли разработчика на особый контроль и подняли его переписку. Выяснилось, что сотрудник в мессенджере в тематическом чате для ИТ- и HR-специалистов писал негативные отзывы о компании и разглашал данные об условиях работы и зарплатах в своём отделе. Также была обнаружена переписка с коллегой, в которой сотрудник обсуждал разработки нынешнего работодателя и возможность ухода к конкуренту. Выяснилось, что причиной всему стал отказ в повышении. С разработчиком была проведена беседа, после чего с ним расстались. В результате удалось пресечь потенциальные угрозы от нелояльного сотрудника.
Заключение
По наблюдениям специалистов Zecurion, спрос на DLP-решения с технологиями для анализа поведения и эмоционального состояния сотрудников стремительно растёт. В основном они интересуют крупные компании, для которых критично влияние человеческого фактора и выявление инсайдеров является неотъемлемой частью работы службы безопасности. Сегодня компаниям необходима не только примитивная система, способная заблокировать передачу информации в зависимости от настроек политики безопасности, но и мощный аналитический инструмент, который предоставит детальную информацию для выявления недобросовестных сотрудников. В совокупности технологии для анализа действий и эмоций персонала позволяют специалистам по безопасности делать точные прогнозы и заблаговременно предотвращать готовящиеся инциденты.
Автор статьи — специалист по внешним коммуникациям, Zecurion.
