Цифровой портрет сотрудника для единого контура ИБ
В корпоративной ИБ слабым местом чаще всего оказывается не технология, а поведение людей. Несмотря на совершенствование технических средств защиты, значительная доля инцидентов связана с действиями сотрудников — будь то злонамеренные инсайдерские действия или непреднамеренные ошибки. По этой причине в фокус выходит концепция People-Centric Security, предложенная аналитиками Gartner еще в 2013 году, которая смещает приоритет с простого мониторинга событий к анализу поведения человека. Данная концепция легла в основу подхода, при котором для каждого работника формируется «цифровой двойник» — обобщенный цифровой профиль его нормального поведения.
Такой двойник представляет собой виртуальную модель сотрудника, отражающую его типичные паттерны действий и коммуникаций на рабочем месте. Использование методов искусственного интеллекта и машинного обучения позволяет наполнять этот профиль на основе реальных данных активности сотрудника и в режиме реального времени сопоставлять его с текущим поведением. В результате система способна определять отклонения от нормы — атипичные модели поведения, которые могут свидетельствовать о потенциальных угрозах безопасности.
Невидимые угрозы: почему сотрудники могут стать киберриском
Актуальность формирования цифровых профилей сотрудников продиктована ростом киберугроз и усложнением информационной инфраструктуры предприятий. Так, массовый переход на удаленную работу обострил проблему контроля: разрозненные системы безопасности уже не дают целостной картины активности пользователей. Традиционные инструменты, основанные на сигнатурах или заранее известных правилах, не всегда способны предотвратить целевые атаки и инсайдерские утечки, поскольку не учитывают контекст поведения конкретного человека. В отличие от них, подход с цифровыми двойниками на основе аналитики поведения пользователей (User and Entity Behavior Analytics, UEBA) обеспечивает построение базовых моделей «нормального» поведения для каждого пользователя и сравнительный анализ отклонений. Такой проактивный мониторинг позволяет обнаруживать нестандартные действия, даже если они не совпадают с известными шаблонами атак. Например, внезапная отправка сотрудником большого объема данных в нетипичное время суток или доступ к нехарактерным для его роли ресурсам сразу будет расценена системой как аномалия. В целом растущий интерес бизнеса к подобным решениям подтверждается прогнозами: еще в 2015 году мировые затраты на анализ поведения сотрудников оценивались в $50 млн, а к 2020 году прогнозировались на уровне $352 млн (тенденция, которая в постпандемийные годы только усилилась).
Как работает единый контур
Единый контур информационной безопасности подразумевает интегрированную систему, которая агрегирует данные безопасности из разных источников и позволяет в реальном времени выявлять инциденты и реагировать на них комплексно. В рамках такого контура цифровой профиль сотрудника служит центральным элементом, связывающим воедино разрозненные сигналы о потенциально опасной активности. Для реализации этой концепции на предприятии необходимо задействовать несколько технологических компонентов.
Сбор данных и мониторинг активности. На первом этапе формируется массив данных о действиях пользователя: логи систем (входы в учетные записи, доступ к файлам и БД), сетевой трафик, переписка по корпоративным каналам, данные DLP-систем (контроль пересылки конфиденциальных документов), UAM-системы мониторинга рабочих станций и пр. Современные решения класса SIEM (Security Information and Event Management) позволяют централизованно собирать и коррелировать такие события безопасности, обогащая их контекстом. Параллельно системы класса DLP (Data Loss Prevention) и DCAP контролируют несанкционированный доступ к данным и их перемещение. Важным дополнением становятся модули UBA/UEBA, анализирующие поведение пользователей и иных объектов инфраструктуры, что фактически и создает основу цифрового двойника.
Обучение модели нормального поведения. С помощью методов машинного обучения накапливаемые данные превращаются в модель обычной активности сотрудника. Алгоритмы анализируют множество параметров: рабочие часы и интенсивность операций, типичные приложения и ресурсы, с которыми работает сотрудник, круг его деловых коммуникаций, объем и характер пересылаемых данных, частота и продолжительность действий и т. д. Например, система Solar Dozor 7 с модулем UBA от компании «Ростелеком-Солар» показала, что за несколько месяцев наблюдений можно сформировать представление о привычном поведении работника и его круге общения. На этой основе автоматически вычисляются статистические профили и пороговые значения, характеризующие норму для данного индивида. Важно, что современные алгоритмы способны обучаться без ручной настройки правил, адаптируясь к специфике организации.
Выявление аномалий и анализ паттернов. После формирования профиля система переходит к непрерывному контролю текущих действий на предмет отклонений. Отступления от привычных сценариев действий или коммуникаций немедленно фиксируются: они могут указывать на признаки нездорового замысла, попытки мошенничества либо подготовку к утечке данных. К примеру, если рядовой бухгалтер, обычно работающий с данными 3000 сотрудников, вдруг выгружает информацию по 5000 персон, то DLP-система с UEBA распознает в этом аномальное поведение и оповестит службу безопасности. Важной функцией такого решения становится классификация типовых рисковых паттернов. На основе накопленного опыта поведенческого анализа можно выделить распространенные модели подозрительных действий. Так, в упомянутой системе Solar Dozor UBA уже реализовано 19 типовых паттернов поведения под условными названиями — «мертвые души» (фиктивные сотрудники), «аномалии внешних коммуникаций», «теневые личные контакты» и т. п. Каждому из них соответствуют определенные критерии (например, общение только с внешними адресатами, внезапное расширение круга получателей, активность в нерабочее время и др.), и ведется постоянный контроль тенденций по этим паттернам. Таким образом, система способна не только реагировать на единичные отклонения, но и выявлять скрытые закономерности — серии действий, указывающие на подготовку инцидента. Интеллектуальные алгоритмы корреляции событий объединяют разрозненные сигналы в единую картину (по аналогии с тем, как скрип калитки сам по себе может быть случаен, но скрип калитки, за которым следует хруст ветки, образует четкий признак приближения нарушителя).
Реагирование и предотвращение угроз. Интегрированный контур ИБ с цифровыми двойниками предоставляет службе безопасности инструменты для проактивной защиты. При выявлении аномалии автоматически генерируется оповещение, и ответственные сотрудники могут оперативно принять меры — от блокировки подозрительной активности до инициирования внутреннего расследования. Более того, накопленная в профиле информация о сотруднике помогает уточнить контекст инцидента. Как отмечают специалисты, анализ цифрового портрета персоны (кому и что обычно передает сотрудник, с кем взаимодействует) позволяет быстрее понять природу отклонения: связано ли оно, к примеру, с новым служебным проектом, стрессовой ситуацией либо с злонамеренными замыслами. В идеале такая система служит не только для выявления уже совершаемых нарушений, но и для профилактики внутренних угроз. Обнаруживая ранние индикаторы неблагонадежности (например, работник начал активно общаться с подразделениями, к которым раньше не имел отношения, или стал интересоваться нестандартными данными), служба ИБ может провести беседу или принять превентивные организационные меры. В результате единый защитный контур с элементами ИИ не просто фиксирует нарушение постфактум, а снижает риск его реализации.
Отметим, что построение подобных систем уже перешло из теории в практику. Российские компании предлагают решения, интегрирующие UBA-модули в DLP-системы и SIEM-платформы. Примером служит упомянутая DLP-система Solar Dozor 7, где UBA-модуль существенно расширил традиционные возможности предотвращения утечек, превратив продукт в оптимальный инструмент повышения эффективности службы безопасности. Другие отечественные разработчики (Positive Technologies, SearchInform, RuSIEM и др.) также реализуют функционал UEBA в своих платформах, понимая, что без анализа поведения достичь необходимого уровня защищенности сложно. Таким образом, реализовать идею цифрового двойника сотрудника технически возможно уже сегодня, опираясь на связку из систем мониторинга (SIEM/SOC), средств защиты данных (DLP, DCAP) и модулей поведенческой аналитики на базе ИИ.
В правовом поле
Внедрение систем тотального мониторинга сотрудников неизбежно затрагивает вопросы законодательства и этики, особенно в контексте России. С одной стороны, работодатель имеет законные основания и даже обязательства контролировать действия персонала для защиты важных информационных ресурсов. Российское законодательство обязывает организации обеспечивать защиту персональных данных (ФЗ № 152-ФЗ), банковской тайны (ФЗ № 395-1), государственной информационной системы (ФЗ № 149-ФЗ), коммерческой тайны (ФЗ № 98-ФЗ) и др. Соответственно, работодатель должен контролировать, чтобы сотрудники соблюдали режим конфиденциальности и не разглашали охраняемые сведения (например, требования ст. 10-11 закона «О коммерческой тайне»). Более того, закон прямо предоставляет работодателю право применять технические средства защиты информации (ч. 4 ст. 10 закона «О коммерческой тайне»), к которым относятся и системы мониторинга активности.
Построение культуры безопасности. Защита от внутренних угроз
С другой стороны, российское право строго охраняет неприкосновенность частной жизни и тайну переписки (ст. 23 Конституции РФ, ст. 137 и 138 УК РФ). Поэтому при реализации цифровых двойников крайне важно выстроить процесс мониторинга в правовом русле, минимизируя юридические риски для компании. Практика выработала ряд мер и рекомендаций:
Принятие локальных актов и информирование. Необходимо заранее закрепить в трудовых договорах и внутренних положениях компании правила, что предоставленные работнику ресурсы (компьютеры, корпоративная почта, мессенджеры и пр.) предназначены исключительно для рабочих целей, а все служебные коммуникации могут контролироваться. Работники должны быть письменно уведомлены (под роспись) о факте постоянного мониторинга их действий в организации. Такая прозрачность лишает работодателя злого умысла в отношении частной жизни персонала и служит первым уровнем защиты от обвинений.
Определение целей и границ контроля. Внутренними документами важно четко регламентировать, с какой целью внедряется система цифровых профилей. Обычно цели формулируются так: обеспечение информационной безопасности, защита конфиденциальных сведений, контроль выполнения трудовых обязанностей и соблюдения внутреннего распорядка. Одновременно следует ограничить область мониторинга, то есть прописать, что система не собирает личные данные вне рамок служебной деятельности и не преследует цель вмешательства в частную жизнь. Например, контентная фильтрация в DLP может быть настроена так, чтобы игнорировать персональную переписку и отбирать лишь данные, относящиеся к корпоративной информации. Современные DLP-решения (например, DeviceLock) уже умеют инспектировать только конфиденциальные корпоративные данные, не затрагивая личную информацию сотрудника.
Получение согласий. Поскольку даже при рабочих коммуникациях возможен перехват сведений частного характера, рекомендуется получить от каждого работника отдельное письменное согласие на ознакомление работодателя с информацией, которая может затронуть его личную тайну в процессе мониторинга. Это требуется, в частности, чтобы избежать претензий по ст. 138 УК РФ (нарушение тайны переписки) — если сотрудник дал информированное согласие, то доступ к его переписке в рабочих каналах не считается противозаконным вмешательством.
Конфиденциальность и ограничение доступа. Данные, собираемые системой цифровых профилей, должны храниться и использоваться с соблюдением мер защиты персональных данных. Доступ к мониторинговой системе разрешается узкому кругу уполномоченных лиц (например, сотрудникам службы ИБ), что фиксируется локальным актом. Желательно, чтобы первичный анализ осуществлялся автоматическими средствами, а не людьми — как отмечают эксперты, программа, обрабатывающая переписку, не подпадает под уголовную ответственность. Это, конечно, не освобождает работодателя от ответственности за утечку таких данных, но снижает риск обвинений в умышленном чтении частных сообщений.
При соблюдении этих условий внедрение системы мониторинга и анализа поведения сотрудников считается правомерным. В судебной практике РФ уже формируется подход, признающий допустимыми доказательства, полученные из программ контроля сотрудников, при условии, что работодатель действовал в рамках закона и локальных нормативов. Таким образом, создание единого контура ИБ на базе цифровых двойников не противоречит законодательству, если балансировать между требованиями безопасности и уважением прав работников.
Отдельно стоит упомянуть аспект нормативного стимулирования таких решений. Регуляторы в России постепенно повышают требования к кибербезопасности организаций. Например, для субъектов критической информационной инфраструктуры (КИИ) федеральный закон № 187-ФЗ предписывает создавать системы защиты, ядром которых все чаще становится SIEM с возможностями поведенческого анализа. Банк России для финансового сектора утвердил стандарт ГОСТ Р 57580.1-2017, обязывающий банки внедрять процесс управления инцидентами ИБ — фактически без систем мониторинга и выявления аномалий соответствие этому стандарту невозможно. Эти меры подталкивают компании к освоению решений на базе ИИ, способных обнаруживать атаки на ранней стадии и предотвращать внутренние нарушения. Таким образом, на государственном уровне формируется запрос на технологии, лежащие в основе цифровых профилей сотрудников, что создает благоприятную нормативную среду для их развития.
Перспективы и нормативный контур
Использование цифровых двойников сотрудников с каждым годом будет только расширяться, становясь неотъемлемой частью стратегии информационной безопасности предприятий. Перспективы этого направления в России и мире включают несколько важных аспектов.
Широкое внедрение искусственного интеллекта. Алгоритмы машинного обучения будут совершенствоваться, обеспечивая более точное распознавание сложных угроз. Ожидается рост применения нейросетевых моделей для поведенческого анализа, способных выявлять скрытые корреляции, невидимые для классических методов. Это снизит уровень ложных срабатываний и повысит доверие к автоматическим системам. В перспективе цифровой профиль сможет учитывать не только текущие технические метрики, но и психологические особенности сотрудника, его эмоциональное состояние (например, на основе тонального анализа переписки), что даст более глубокое понимание мотивов и преднамеренности действий.
Интеграция с другими контурами безопасности. Цифровой двойник работника станет частью единой платформы обеспечения безопасности, объединяющей ИБ с физической безопасностью и кадровым контролем. Уже сейчас в крупных организациях службы экономической, внутренней и кадровой безопасности начинают пользоваться данными DLP/UEBA-систем. В будущем профили сотрудников могут соединяться с данными систем контроля доступа (СКУД), видеонаблюдения (например, фиксация аномального перемещения по объекту) и даже с показателями здоровья (в рамках концепции «цифрового профиля сотрудника» для охраны труда). Такой 360-градусный обзор позволит более эффективно предотвращать инсайдерские угрозы, особенно в критических отраслях.
Персонализация обучения и развитие доверия. Интересно, что концепция цифрового двойника выходит за пределы чисто защитных задач и может приносить пользу самим сотрудникам. По мере развития технологии организации смогут персонализировать обучение по информационной безопасности: зная слабые места и привычки конкретного работника, система сможет автоматически направлять ему обучающие материалы или предупреждения (например, если человек склонен переходить по подозрительным ссылкам или пренебрегает резервным копированием). Такой индивидуальный подход повысит культуру безопасности без чрезмерно репрессивных мер. Кроме того, прозрачное внедрение цифровых профилей и объяснимость работы ИИ помогут укрепить доверие сотрудников: понимая, что мониторинг направлен на защиту общего дела, персонал лояльнее относится к ограничениям. Со временем это может войти в норму корпоративной культуры.
Развитие отечественных решений и импортозамещение. В условиях геополитических ограничений российский рынок ИБ будет опираться на собственные разработки. Уже сейчас появилось несколько отечественных UEBA/SIEM-платформ, конкурентоспособных с западными аналогами. Можно ожидать появления новых продуктов, возможно, с открытым исходным кодом, что удешевит внедрение таких систем в компаниях малого и среднего бизнеса. Государство заинтересовано в поддержке данных инициатив, поскольку они повышают технологический суверенитет. Вероятно, будут разработаны отраслевые решения (для госучреждений, промышленности, медицины), учитывающие специфику поведения сотрудников в этих сферах и соответствующие требованиям регуляторов.
Усовершенствование правовой базы. По мере распространения ИИ в мониторинге труда могут появиться более четкие нормативные акты, регулирующие пределы допустимого. Пока многое решается через общие нормы и локальные документы, но в перспективе может быть принят, например, этический кодекс использования AI для контроля персонала или внесены изменения в трудовое законодательство, уточняющие права и гарантии сторон. Однако ожидается, что законодатель будет стремиться к балансу: стимулировать внедрение систем ИБ для защиты критичных данных, но одновременно предотвращать злоупотребления и чрезмерную слежку, несовместимую с правами человека.
***
Формирование цифрового двойника сотрудника для целей информационной безопасности из теоретической концепции превратилось в реализуемую задачу, подкрепленную практическими кейсами. Текущие возможности искусственного интеллекта уже позволяют строить комплексные поведенческие профили и выявлять аномалии с высокой скоростью и точностью. Внедрение таких систем создает единый контур безопасности предприятия, где человек рассматривается не только как источник риска, но и как активный элемент, подлежащий защитному анализу. Для руководителей ИТ-служб это открывает новые горизонты раннего обнаружения угроз и сокращения ущерба от внутренних инцидентов. Для регуляторов — инструмент повышения общей киберустойчивости отраслей без тотального наращивания штатных ресурсов. Конечно, успех подхода зависит от грамотного соблюдения правовых норм и продуманной коммуникации с персоналом, однако при соблюдении этих условий реализация цифровых двойников сотрудников представляется вполне осуществимой и чрезвычайно перспективной. Это направление находится на стыке технологий big data, поведенческой психологии и права, демонстрируя высокий потенциал в обеспечении проактивной, адаптивной и человеко-ориентированной системы информационной безопасности.
Источники: 1. Connect-WIT. Цифровой двойник сотрудника в DLP-системе «Ростелеком-Солар» снабдил Solar Dozor 7 модулем UBA (репортаж от 10.10.2019). 2. Носов Н. SIEM в помощь // ИКС Медиа (статья от 14.04.2021). 3. SearchInform. Правомерность использования системы контроля сотрудников // Разъяснительная статья на сайте SearchInform. 4. Вахонин С. Юридические риски мониторинга сотрудников // Anti-Malware.ru (05.04.2018). 5. Хайретдинов Р. Внутренние или внешние угрозы: что страшнее?