Чужой среди своих
В середине июня сотрудник компании Tesla взломал систему управления производством и передал «большие объемы особо важной информации» третьим лицам, сообщил Bloomberg. Основатель Tesla Илон Маск назвал произошедшее «саботажем», а ущерб — «довольно масштабным и подрывающим» работу: из-за инцидента производство Tesla было остановлено на несколько часов, начато расследование.
Произошедшее в США — типичный пример, как бизнес терпит финансовые убытки из-за утечки информации. Подобное нередко происходит и в России: 89% отечественных компаний сталкивались со сливом данных, и для 61% из них это имело существенные последствия, выяснили аналитики компании «Стахановец» во время опроса руководителей служб информационной и экономической безопасности. В 62% случаев сотрудники продают информацию третьим лицам или шпионят на конкурентов.
Особо опасен
Российский рынок технологий DLP (Data leak prevention — система предотвращения утечек конфиденциальной информации) — один из самых развитых в мире, говорит бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий. По оценке гендиректора проекта «Стахановец» Никиты Рогозина, рынок таких программных решений растет на 20–25% в год. Ключевые игроки — Solar Security, InfoWatch, Searchinform.
DLP-система проверяет все, что делает сотрудник на рабочем месте: какие процессы у него запущены на компьютере, куда и кому он отправляет файлы, смотрят ли сотрудники на работе порно, играют в онлайн-игры, кому и зачем пишут письма. Если система сообщает о нарушении, то подозрительные письма блокируются, а компания проводит расследование. По словам бизнес-архитектора ИТ-компании «Крок» Алексея Сидорина, DLP-система сейчас есть почти в любой крупной компании: это стандарт безопасности.
Однако этого корпорациям мало. Как в фильме Стивена Спилберга «Особое мнение», они хотят не просто обнаруживать уже совершенные злоупотребления, а предотвращать их, находить потенциально опасных людей. Для этого используется профайлинг. Это инструмент нетестовой психодиагностики, который позволяет составить комплексный психологический портрет человека, а затем предсказать его поведение в той или иной ситуации. Изначально профайлинг применялся спецслужбами для обнаружения преступников. Однако со временем этот инструментарий стал набирать популярность в корпорациях. Сейчас появились первые ИТ-инструменты для профайлинга, они позволяют убрать человеческий фактор и анализировать большие объемы данных. Этот софт оценивает поведение сотрудника на рабочем месте, фиксирует его настроение, пытаясь предугадать, кто ненадежен. В основном такие решения появляются на Западе, но начинают пользоваться спросом и в России. По словам председателя совета директоров Searchinform Льва Матвеева, вероятность «попадания» при составлении портрета сотрудника при помощи сбора данных и их обработки составляет 70–75%.
Неблагонадежный портрет
Несколько лет назад нынешний директор по безопасности SearchInform, 35-летний выпускник Белорусского национального технического университета Иван Бируля, работал в одной из крупных международных логистических компаний. Он составлял психологические портреты коллег на основе бесед с ними. По его словам, цель была создать систему оценки рисков, связанных с действиями сотрудников. Например, Бируля отслеживал такие факторы, как склонность к криминалу, нетрадиционные сексуальные пристрастия, чрезмерная политическая активность. Однажды специалист пытался понять, как сотрудник относится к политическим событиям на Украине, поскольку там у компании было подразделение: «Мы беспокоились, сотрудник может просто пропасть: у нас контракты, а он флагом машет на Майдане». В оценку входила склонность к экспериментам, стрессоустойчивость — это было важно для сотрудников бухгалтерии, которые работали с платежными документами.
В 2016 году он решил автоматизировать свои наработки и обратился с идеей в ИТ-компанию Searchinform, которая занимается разработкой и внедрением DLP-систем. Там идею оценили. Научных знаний Бируле не хватало, он обратился к специалисту по профайлингу Алексею Филатову. В итоге вместе они решили составлять портреты сотрудников на основе психосемантического поля, то есть определенных слов в текстах писем, сообщений в чатах, которые собирает DLP-система. Созданная в итоге ИТ-система автоматически анализирует 72 параметра (лексика, сокращения, как часто и каким образом автор текста использует различные части речи и др.) и выявляет 50 характеристик человека (агрессивность, доброжелательность, конфликтность, тревожность, склонность к обману и воровству и т.д.).
На разработку ИТ-системы компания потратила 20 млн руб., говорит председатель совета директоров Searchinform Лев Матвеев. По его словам, компания уже подписала контракты с несколькими крупными заказчиками. Те активно тестируют новую систему и даже увольняют людей, если они представляют потенциальную угрозу для бизнеса. Например, недавно одна из финансовых фирм наняла на работу старшего финансового консультанта. Он успешно прошел все собеседования HR-службы. Но служба безопасности обратила внимание, что человек путается в ответах на вопросы про прошлый опыт, а иногда проявляет агрессию при личном общении. Позже DLP-система и модуль профайлинга подтвердили опасения: уровень агрессии и склонность к обману были высокими. Это не укладывалось в представление работодателя о необходимых качествах сотрудника. Ко всему прочему он получил замечания от непосредственного руководства и в итоге не смог пройти испытательный срок.
У такого подхода есть противники. По словам директора по продажам российской софтверной компании Edison Артема Карюкина, программы реагируют на ключевые слова, но проанализировать личность может только человек, да и тот может ошибаться. «Я не верю, что по тексту можно составить точный портрет. Даже психология работает до определенной грани. При найме я встречаюсь с угрюмыми людьми, но в душе они — цветущие», — рассказывает Карюкин. Впрочем, в Searchinform и не считают свой подход универсальным — профайлинг эффективен лишь как один из элементов системы оценки человека.
Карта недовольных
Год назад ИТ-компания «Крок» по просьбе одного из клиентов стала собирать всевозможные данные о его сотрудниках и попыталась построить прогнозы с помощью машинного обучения.
Речь шла о звонках, переписке по электронной почте, простоях в рабочее время, об отпусках и командировках, времени входа и выхода из офиса на обед и перекур, информации о сотруднике из отдела кадров и др. Когда специалисты сопоставили данные, оказалось, что в реальном времени возможно создать карту коммуникации, из которой ясно, кто, когда и кому звонил, кто тесно общается и вместе ходит курить. Подобная карта помогла выявить обособленные команды, которые собираются уходить к конкурентам. Как оказалось, непосредственно перед увольнением некоторые из них не просто начинали активно скачивать важные документы — обычно подобное без труда считывает служба безопасности, а в первую очередь переставали активно общаться с коллегами. Специалисты «Крока» наложили карту на выборку уволившихся по собственному желанию, и это подтвердило гипотезу.
Помимо назревающих увольнений собранные данные помогли предсказать и другие вещи. Например, карта показывала, кто является неформальным лидером; какие работники заинтересованы в проекте в большей, а какие в меньшей степени; кто лучше разбирается в определенной работе; а за счет составления граф связей и при помощи психологов смогли выявить моменты, когда человек не удовлетворен работой, но еще не думал о том, чтобы уволиться. «Анализируя такую информацию, можно выводить самые разные сценарии. Это используется и для безопасности, и для потребностей бизнеса и HR-отдела», — рассказывает архитектор бизнес-решений компании «Крок» Алексей Сидорин. По его словам, служба персонала часто просит оценить сотрудника, как ему работалось с коллективом. Но люди не всегда объективны, матричная же система более точна.
По словам Сидорина, объема информации, которую собирают корпорации о своих сотрудниках, достаточно для многофакторного анализа. Сейчас компании во всем мире заняты построением так называемых data lake — специальных хранилищ, в которые собирается всевозможная и часто неструктурированная информация. Ключевая проблема — дефицит инструментов для анализа этих массивов. «Бизнес зачастую пока даже не предполагает, как при помощи машинного обучения сможет использовать данные. Но каждый, кто смотрит в будущее, смотрит в data lake. И это ключевой фактор безопасности компании в будущем», — убежден специалист.
Найти по почерку
В середине 2000-х выпускник Донецкого национального технологического университета Михаил Яхимович создал ИТ-компанию «Стахановец», которая отслеживала, сколько рабочего времени сотрудники тратят на нерабочие дела. Изначально программа просто позволяла делать скриншоты рабочего стола, определяла, какие сайты посещает специалист, сколько времени активны рабочие программы. Стартап взлетел — к 2017 году у компании было 8 тыс. клиентов, которые приносили около 100 млн руб. выручки в год.
Теперь вместо того, чтобы просто контролировать расход рабочего времени, «Стахановец» начал собирать данные обо всем, что делает сотрудник, готовить отчеты для управленцев об их эффективности, составлять портреты потенциальных злоумышленников. Ключевые клиенты — это отделы продаж девелоперских компаний. По словам Рогозина, менеджеры по продажам, общаясь с потенциальным клиентом, нередко предлагают приобрести недвижимость на стороне, получая за сделку процент в обход корпоративной кассы. Система позволяет предприимчивых менеджеров обнаружить еще до того, как сделка совершена. «Для любой компании, где есть отдел продаж и закупок, стоит вопрос экономической безопасности», — убежден Рогозин. Например, потеря при одной левой сделке в недвижимости может составить 5–10 млн руб.
Одна из основных проблем, над которой сейчас работает «Стахановец», — распознавание так называемого клавиатурного почерка, который помогает найти злоумышленника. Дело в том, что для отправки конфиденциальной информации или проведения левых сделок злоумышленники часто используют компьютеры своих отлучившихся коллег. «Стахановец» анализирует длительность нажатия клавиш, интервалы между нажатиями, выявляет индивидуальные опечатки и ошибки и в итоге находит того, кто совершил противоправное действие с чужого компьютера, рассказывает Рогозин. ИТ-услуга востребована среди банковских и финансовых организаций, бухгалтеров, которые осуществляют денежные переводы. Сидорин из «Крока» говорит, что похожую систему часто используют нефтегазовые компании: они фиксируют диджитал-почерк сотрудника и впоследствии выявляют нарушителей безопасности. «Это больная мозоль отрасли», — утверждает специалист.
Насколько все эти ИТ-инструменты законны? В апреле 2015 года руководитель одной из немецких компаний сообщил подчиненным, что на их компьютеры отныне установлена специальная программа, которая следит за длительностью нажатия клавиш и делает скриншоты, сообщала Deutsche Welle. Через два дня босс обнаружил, что 32-летний веб-разработчик в офисе разрабатывает компьютерную игру и помогает с документами фирме отца. Это не понравилось начальнику, и он уволил подчиненного. Однако программист подал в суд и, пройдя несколько инстанций, выиграл дело, доказав, что работодатель не имел права следить за ним. В России подобное происходит очень редко, наши люди редко судятся с работодателем, они воспринимают слежку как должное, утверждает Алексей Лукацкий.
Управляющий партнер юридической компании BLS Елена Кожемякина рассказала, что, как правило, при приеме на работу сотрудник подписывает локальный нормативный акт и соглашается с тем, что работодатель использует дополнительные средства контроля. Однако уволить могут только за конкретное нарушение, например за воровство, которое зафиксировала ИТ-система, так как появляется прямое доказательство вины работника. Если воровство не зафиксировано, то, значит, и подтверждения вины нет. Работодателю нужно искать другую причину для увольнения, например найти нарушения трудового распорядка и т.п.
Как выявить опасного сотрудника в ручном режиме. Опыт Никиты Рогозина
Всегда стоит помнить, что в каждой компании критерии благонадежности могут отличаться. Для каких-то предприятий ругать начальство — это норма, а для каких-то — нет. То, что сотрудник критикует начальство, совершенно не означает, что он неблагонадежен. Некий уровень недовольства и возмущения нормален и ожидаем. Стоит наблюдать за изменениями паттернов поведения: если сотрудник раньше ругал руководителей, но вдруг перестал, то, значит, что-то идет не так.
Важно понимать, чем вызвано недовольство и против кого оно направлено. Если против непосредственного начальника, то это одна история. Но если недовольство направлено против компании в целом, то ситуация может стать более рискованной. Если сотрудник готовится совершить неэтичный поступок или уже совершил, то он, как правило, ищет оправдание для себя. Например, говорит, что его компания неправильная и плохая, а он хороший и благонадежный, недооцененный.
Стоит обратить внимание на интенсивность общения с конкурентами. Если работник слишком фамильярно общается с ними, то это признак потенциальных рисков. Даже если он делает это ненамеренно, то может случайно проболтаться.
Если сотрудник расходует рабочее время нерационально, то это говорит об общей недисциплинированности человека и также может иметь нехорошие последствия для компании. Не всегда здесь нужны кардинальные меры: иногда можно просто подсказать, как тратить время эффективнее.
Если сотрудник внезапно перестал общаться с коллегами, то это может говорить о проблемах в коллективе, возможно, в нем назревает конфликт. Это тоже риск для компании: обиженный нередко внезапно увольняется либо сливает данные конкурентам в качестве мести.