Профайлинг известен давно: его используют спецслужбы, при досмотрах в аэропорту, многие специалисты безопасности прибегают к нему в ежедневной практике. Но как вооружиться им для корпоративной безопасности, если потенциальным нарушителем может оказаться любой из нескольких сотен человек в компании, а специалист-профайлер — всего один?
Директор по безопасности «СёрчИнформ» Иван Бируля рассказывает, как информационные технологии помогли решить эту проблему, и что умеет автоматизированный профайлинг сегодня.
Корпоративная безопасность традиционно заточена на контроль человеческого фактора. Я много лет работаю в отрасли и могу оценить подспорье, которое качественные IT-средства дают СБ для расследования инцидентов. Но решений для работы на упреждение долгое время не существовало, «цифра» слабо справлялась с прогнозированием рисков и поиском сотрудников с криминальными наклонностями.
В моем арсенале для этого был профайлинг — совокупность психологических методов оценки и прогнозирования поведения человека, которые основываются на анализе поведения, реакций и речи. Однажды я рассказал о методике вендору DLP, которой пользовался на прежней работе — компании «СёрчИнформ». Разработчики заинтересовались и предложили вместе попробовать научить профайлингу «машину».
Я оказался «на борту», и здесь началось самое интересное.
Измерить индивидуальность
Мы делаем DLP-системы — инструменты защиты от утечек информации. Но запросы рынка шагнули вперед, поэтому ПО сосредоточилось на комплексной защите бизнеса: от халатности, непродуктивности, мошенничества и саботажа со стороны сотрудников, прямого инсайдерства в пользу конкурентов и негативных последствий пагубных зависимостей.
Для этого DLP собирает данные обо всём, что пользователь делает за рабочим компьютером — от текстов переписки, поисковых запросов и аудиозаписей переговоров до снимков с экрана и веб-камеры. Главный массив информации — текст. Причем кроме строгих стандартизированных рабочих переписок в перехват попадает неформальное общение в мессенджерах. Именно на нём мы решили строить модуль профайлинга, ведь то, как мы говорим и пишем, отражает наши личностные особенности.
На этом основывается психолингвистика. Наука в принципе хорошо систематизировала знания о языке, с ее точки зрения речь — это упорядоченный код. Это как нельзя лучше подходило нам для работы. Но было непонятно, как описать взаимосвязь между речевыми особенностями и психикой программе, которая мыслит алгоритмами. Предстояло выстроить чёткую понятийную систему, которая поддавалась бы оцифровке. Это особенно сложно с учётом отсутствия в психологии понятия нормы — нет «нулевого образца», с которым можно сравнить поступающие данные.
Мы поняли, что одного практического опыта для воплощения идеи недостаточно, и решили усилиться наукой. К команде присоединился Алексей Филатов, эксперт в области нетестовой психодиагностики. Он заинтересовался темой и был готов поделиться идеями.
Вместе с Алексеем наши разработчики вывели формулу, по которой программа научилась вычленять из потока текста значимую информацию — морфологию, выбор слов, расстановку знаков препинания и вид предложений. Опечатки, сокращения, цифры, слова на латинице и скопированные извне вставки признаются «шумом», их модуль не анализирует. А 20 тысяч «очищенных» лемм (25-30 страниц печатного текста) уже дают представление о том, к какому психотипу принадлежит человек, каковы его базовые ценности и поведенческие паттерны.
Например, «миролюбивая» и эмоционально окрашенная лексика, частые обращения к собеседнику указывают на чуткого эмотива, а «рубленные» краткие предложения с обязательными точками на конце — на любящего чёткость эпилептоида.
Программа оценивает текст более чем по 70 критериям, выделяет несколько тысяч базовых черт. Затем сочетание этих черт в каждом человеке проверяется на соответствие одному из 8-ми психотипов, которыми оперирует классический профайлинг. Обычно в каждом человеке сочетаются проявления сразу нескольких психотипов, но профайлеры, а за ними и программа, выделяют ведущую пару наиболее ярких, дополняющих друг друга. Всего таких пар 64.
Чтобы убедиться, что автоматизированный профайлинг действительно работает, мы тщательно тестировали софт на своем коллективе и в компаниях-партнерах. Результаты сверяли с мнениями профессиональных профайлеров. Удалось добиться 75–80% точности, и это хороший рабочий результат.
Цифра видит насквозь
Профайлинг — тонкая наука на вооружении специалистов по безопасности. Но если такие специалисты есть, зачем вообще автоматика?
Мы исходили из потребностей бизнеса. Как правило, услуги профессиональных профайлеров стоят недёшево, да и времени анализ «лицом к лицу» занимает немало. Если нужно дать оценку одному-двум сотрудникам на критических должностях, это оправдано. Но если цель — контролировать малейшие риски среди линейного персонала, а штат насчитывает сотни или даже тысячи сотрудников, составить профиль каждого почти нереально.
Таким образом, профайлинг в классическом виде — метод не массовый. А автоматизация предлагает выход. Если DLP контролирует всех пользователей корпоративной сети, то данные о каждом уже будут в распоряжении модуля. Анализ происходит в фоновом режиме, значит, персонал не будет отвлекаться от работы — это экономия ресурсов.
Ещё одно преимущество цифры — беспристрастность. Мощности ПО обеспечивают широкий охват «испытуемых», большие объемы исследуемых данных — глубокую проработку. Наконец, данные постоянно обновляются, модуль считывает новую информацию и показывает ситуацию в динамике. Например, профиль сотрудника говорил о высокой лояльности и мотивации, а спустя месяц там рост недовольства. Это может указывать на усталость и выгорание, а может — на конфликт в коллективе, который повлечёт неприятные последствия: накопленные обиды, затаённую месть.
Наконец, автоматический профайлинг получился инструментом «широкого профиля». Данные, которые выдает модуль, могут использовать как службы безопасности, так и HR-департаменты, и управленцы. Программа формулирует результаты максимально понятно, чтобы их сразу можно было применить на практике. Модуль не описывает сотрудников как «шизоидов» и «параноялов»: термины «переводятся» в описания и рекомендации.
Компания получает полную картину по ценностям, наклонностям, общительности и амбициозности каждого сотрудника. Программа предупреждает о возможных рисках от всех работников и даёт рекомендации, как избежать угроз. Например, если сотрудник слишком критичен, программа посоветует подчёркивать важность соблюдения корпоративных правил и выстраивать прозрачную систему дисциплинарных мер.
Всего программа поддерживает около 78 000 вариантов расширенных профилей, определяет риск-рейтинг каждого пользователя. Профили разных сотрудников можно сравнивать и ранжировать в зависимости от того, как ярко выражены те или иные характеристики. Это удобно, чтобы выявлять группы риска, составлять команды из дополняющих друг друга специалистов, следить за уровнем лояльности.
Пища для размышлений
При всех плюсах, автоматизированному профайлингу есть куда расти. Мы работаем над повышением точности, но для этого нужно подключить другие модальности для анализа: не только текст, но и мимику, интонации, голос. В ближайших планах — подключить к модулю систему распознавания клавиатурного почерка, также на очереди анализ активности пользователя в социальных сетях. Идёт перевод модуля на английский и испанский языки — а это непросто, ведь «машину» предстоит погрузить в совсем иную языковую систему.
Кроме того, автоматика не может конкурировать с полноценной службой безопасности — это не кнопка «найти предателя». Чтобы модуль был полезен, все результаты автоматического профилирования должен интерпретировать человек. Программа соберёт данные, но оценить, к чему приведёт, например, сочетание эгоизма и мотивации на деньги в профиле сотрудника отдела продаж, сможет только ИБ-специалист.
Таким образом, модуль помогает службе безопасности сфокусировать взгляд на важном. А вот критерии этого «важного» в каждой компании индивидуальны. Кому-то будет критично отслеживать взаимосвязь между криминальными склонностями и потенциальными инцидентами безопасности, а кому-то — искать в коллективе точки опоры, лояльных сотрудников, на которых можно положиться.
При этом программа берёт на себя огромную работу по сбору и систематизации вводных. Без неё сложно представить постоянный мониторинг больших коллективов и профилирование «в динамике». По сути, модуль автоматизирует рутину службы безопасности, предоставляя специалистам свободу делать выводы и принимать решения.
