В условиях повышения значимости информационных активов для госструктур и коммерческих предприятий особую важность приобретают вопросы обеспечения информационной безопасности и особенно защиты от инсайдерского мошенничества, совершаемого сотрудниками компаний с использованием ее информационных систем. Современные системы защиты не в состоянии в полной мере противостоять незаконным действиям инсайдера [1], и прогнозная модель может здесь помочь.
Для моделирования поведения внутреннего нарушителя можно использовать метод системной динамики Форрестера [2], предполагающий разработку циклического ориентированного графа исследуемой системы на базе статистических данных ее функционирования или экспертного мнения о ее поведении. Для разработки прогнозной модели необходимо иметь статистику кибермошенничества на основе реальных инцидентов нарушения информационной безопасности, сформулировать базовые характеристики преступления и выявить факторы, приводящие к нему. Модель включает, в частности, диаграмму причинно-следственных связей и диаграмму потоков и уровней. Задавая параметры модели и проводя тестовое моделирование, можно выявить точки и характер возникновения потенциальных угроз и организовать оперативное реагирование на них.
Анализ имеющейся в открытом доступе информации об инсайдерских преступлениях позволил составить базу инцидентов, в которую на данный момент входит около 400 различных киберпреступлений. На основе собранной информации были сформулированы базовые характеристики кибермошенничества (см. таблицу).
Базовые характеристики кибермошенничества |
Для реализации мошенничества, как правило, необходимо сочетание нескольких факторов: технической возможности; возможности обоснования или оправдания мошенником своей преступной активности (характеристика нарушителя); мотивации, то есть побуждения к совершению преступления (характеристика ситуации, в которой находится нарушитель).
Разработка прогнозной модели начинается с построения общей модели исследуемой системы (см. рисунок), интегрирующей взаимосвязанные факторы, влияющие на реализацию угрозы. Одним из основных факторов является «Поведение инсайдера» — именно преступное поведение отличает инсайдера от лояльного сотрудника организации. На поведение инсайдера, в свою очередь, влияют: «Мотивация инсайдера», «Технические возможности инсайдера» и «Восприятие инсайдером риска». Последний фактор, связанный с возможностью обнаружения преступления, рассматривается отдельно, поскольку в составленной авторами базе инцидентов присутствуют случаи инсайдерского кибермошенничества, в которых решающим аргументом, склоняющим чашу весов в сторону совершения преступления, является простота совершения этого преступления, часто связанная с отсутствием, с точки зрения инсайдера, должного уровня контроля информационной безопасности в организации («Организационные факторы»). В результате реализации подобного мошенничества удовлетворяются финансовые потребности мошенника, что приводит к снижению мотивации инсайдера («Мотивация инсайдера»). При этом организации наносится часто значительный ущерб («Ущерб организации»). Организация узнает о реализации мошенничества («Получение информации организацией»), выявляя подозрительное поведение инсайдера, факт нанесения им ущерба («Ущерб организации») или действия сообщников инсайдера по монетизации украденной информации («Сговор»). Сообщники инсайдера могут оказывать на него давление с целью склонения к продолжению преступной деятельности («Мотивация инсайдера»).
Общая модель исследуемой системы |
Получив информацию о свершившемся или готовящемся мошенничестве («Получение информации организацией»), организация предпринимает действия по минимизации ущерба или предотвращению преступления («Реакция организации»). Реакция организации на киберпреступление может выражаться в форме ограничения прав и полномочий инсайдера в информационной системе организации («Технические возможности инсайдера»), применения дисциплинарного взыскания к инсайдеру (влияет на «Восприятие инсайдером риска»), а также усиления общего уровня ИБ посредством повышения грамотности сотрудников или установления различных средств контроля («Организационные факторы», влияющие на «Восприятие инсайдером риска»).
Следующий шаг разработки прогнозной модели — построение диаграммы причинно-следственных связей и ее последующая детализация до диаграммы потоков и уровней. Для этого была использована среда моделирования Vensim, позволяющая проводить исследования сложных технических, экономических и социальных систем. Выбор данной среды обусловлен наличием бесплатной лицензии для научных целей и поддержкой цикличных графовых моделей.
Если в системно-динамической модели не применяются уровни и потоки, то такая модель не может служить для целей компьютерного моделирования, поскольку именно потоки и уровни являются основой для построения системы дифференциальных уравнений, используемой при моделировании. При разработке модели в среде Vensim необходимо построить граф и задать зависимости между параметрами (вершинами графа). Среда моделирования переводит данную информацию в систему дифференциальных уравнений и решает ее, получая прогнозные значения параметров модели.
Входными параметрами модели, определяющими поведение системы, являются наличие финансовых обязательств у потенциального инсайдера, его личная предрасположенность к совершению киберпреступления, его технические возможности, наличие внешнего сговора, начальный и неснижаемый уровни контроля информационной безопасности предприятия.
Наиболее значимыми параметрами являются «Технические возможности инсайдера» (выходной параметр модели, позволяющий оценить необходимость увольнения инсайдера или перевода его на другую должность, не позволяющую ему иметь доступ к важной информации) и «Доход инсайдера» (выходной параметр модели, показывающий размер прибыли, полученный инсайдером в результате преступной деятельности).
В качестве примера тестового моделирования был рассмотрен случай, когда у кибермошенника возникает материальная потребность в сумме, незначительно превышающей 100 тыс. рублей, имеются в наличии возможность внешнего сговора, а также технические возможности, присущие среднестатистическому сотруднику компании. В первое время, отсчитываемое с момента трудоустройства сотрудника, уровень технического контроля за его поведением достаточно высок как с точки зрения самого сотрудника, так и с точки зрения контролирующего персонала. С течением времени, при добросовестной работе сотрудника или при отсутствии с его стороны противоправных действий, доверие к нему контролирующих органов растет, что снижает уровень технического контроля, влияющий на восприятие инсайдером риска в сторону его снижения.
При снижении уровня воспринимаемого риска у потенциального инсайдера появляется желание совершать незаконые действия, что может привести к увеличению его преступной активности. При ненулевом значении выходных параметров модели «Преступная активность» и «Активность внешней стороны» появляются доказательства наличия преступной активности со стороны потенциального инсайдера, который становится реальным инсайдером, а также появляются доказательства активности сообщников. Через некоторое время повышается осведомленность организации о преступной активности этого инсайдера, что в итоге может привести к его увольнению. При этом параметр «Технические возможности» становится равным нулю.
***
Предложенная методика построения прогнозной модели дает возможность в условиях различных сред выявить инсайдерское кибермошенничество и минимизировать риски. Модель может использоваться, в частности, в криминалистических подразделениях для оперативного выявления злоумышленников.
Литература
- Вадим Галлямшин, Артур Скок. Когда защита не работает // Открытые системы. СУБД, — 2014. — № 9. — С. 36–37. URL: http://www.osp.ru/os/2014/09/13043848 (дата обращения 24.05.2015).
- Форрестер Дж. Основы кибернетики предприятия. — М.: Прогресс, 1971.
Максим Калякин (justmalevi4@gmail.com) — студент, Антон Зайцев (anthony.zaytsev@gmail.com) — аспирант НИЯУ «МИФИ»; Татьяна Орлова (tatiana_orlova@yahoo.com) — эксперт itSMF России (Москва).