"Амулет" -  служба безопасности, охрана, юридические услуги, системы безопасности

"Амулет" - безопасность бизнеса, охрана, юридическая поддержка

"Амулет" -  служба безопасности, охрана, юридические услуги, системы безопасности
начало
о компании услуги вопрос-ответ осторожно! информация отдых контакты

 

 







год основания службы безопасности  АМУЛЕТ

"Амулет" - безопасность бизнеса, охрана, юридическая поддержка
Криминологический аспект защиты информации

В.Шарлот

Криминологический аспект защиты информации. Криминальная мотивация

Часть-1

Согласно исследованию компании Info Watch - "Внутренние ИТ-угрозы в России-2006" -респонденты выделяют утечку конфиденциаль¬ной информации в качестве самой опасной  угрозы  информационной безопасности (ИБ)  (65,8%).  Сразу за утечками следует халатность служащих (55,1%). Индекс опасности вирусных атак занимает лишь третье место (41,7%), затем идет информационный саботаж (33,5%). Другими словами, из 4 наиболее опасных угроз 3 относятся именно к рискам внутренней ИБ. Кроме того, исследование выявило, что российские государственные и коммерческие организации отчетливо осознают все отрицательные последствия утечек конфиденциальной информации и других инсайдерских инцидентов: прямые финансовые убытки (46%), удар по репутации (42,3%) и потерю клиентов (36,9%).

Для обеспечения ИБ компании необходимо учитывать потребности, интересы и ценности человека, а не рассматривать его как винтик большой машины, лишь пытаясь выжать из него максимум эффективности. Нужно понимать, что никакие формальные запреты и ограничения реально не могут повлиять на поведение сотрудника, кроме его собственного сознания. Временно можно подчинить его волю своим интересам, но если человек решил извлечь пользу из своего служебного положения, этому очень трудно помешать. Однако, зная мотивы такого поведения и условия их формирования, с одной стороны, и склонности сотрудников - с другой, вполне можно предсказать развитие подобных тенденций и предотвратить неблагоприятные последствия. Для этого необходимо рассмотреть криминальные мотивы поведения сотрудников, т.е. мотивы, направленные на удовлетворение индивидуальных потребностей в ущерб фирме. Криминологи различают несколько структурных элементов преступного деяния, осуществленного в виде сложного волевого действия:
1) мотивация  преступного  действия;
2) формирование цели преступного действия;
3) принятие решения о совершении конкретного преступного деяния, направленность и содержание преступного умысла;
4) способы осуществления преступного деяния;
5) достижение результата и отношение субъекта к этому результа¬ту.
Только на основании анализа всех этих элементов, можно построить целостную систему защиты информации.

Мотивация, по мнению многих исследователей, как психическое явление, характеризующее личность, является ключевым элементом преступного поведения. Необходимо разделять сознательные и неосознанные, а также умышленные и неумышленные действия и мотивы. Это разделение необходимо для выстраивания сбалансированной системы профилактических мер, выбор адекватных методов и средства воздействия на сотрудника.

Сознательные нарушения совершаются при полном контроле сознания за собственными действиями, они могут быть как умышленными, т.е. иметь определенное намерение, оцениваемое как преступное, так и неумышленными, когда сотрудник  не имеет намерение совершить противоправное деяние.                                

Умышленные и неумышленные нарушения в СЗИ различаются также по степени угрозы для различных видов уязвимости информации.

НЕУМЫШЛЕННЫЕ НАРУШЕНИЯ

В криминологии специфика объяснения умышленного и неосторожного преступного поведения объясняется позицией личности (особенностей ее потребностей, интересов, ценностных ориентаций). Искажение позиции у лиц, которые совершают умышленные преступления, чаще всего, носит иной характер, нежели у тех, которые совершают неосторожные преступления. В первом случае типичной является деформация смыслообразующих ценностей (например, уважение к чужой жизни, достоинству, собственности и т.д.), во втором случае - наличие "облегченного" отношения к ролевым обязанностям и функциям при признании основных базовых ценностей. Причина некоторых неумышленных преступлений состоит также  в том, что у человека отсутствует потребность постоянно контролировать свои самые ответственные действия или прогнозировать будущее развитие событий.  Следовательно,   профилактические меры, направленные на предотвращение нарушений режима конфиденциальности, также должны учитывать различные аспекты личности  сотрудников. 

При неосторожном нарушении режима конфиденциальности человек не только не старается получить личную выгоду в ущерб организации, но может даже не подозревать о возможности такого ущерба. Здесь необходимо различать преступную неосторожность, преступную самонадеянность и трагическую случайность.

Преступная самонадеянность заключается в том, что сотрудник  предвидел негативные последствия своих действий, но легкомысленно надеялся их избежать. Например, если сотрудник оставляет конфиденциальные документы у себя на столе или в кабинете, не оборудованном соответствующими средствами ЗИ, надеясь, что с ними ничего не случиться. Говоря о преступной самонадеянности, следует иметь в виду такие мотивационные и характеризующие личность факторы, как стремление к успеху, склонность к риску, завышенная самооценка, завышенный уровень притязаний.

Преступная неосторожность заключается в том, что сотрудник должен был предвидеть негативные последствия своих действий, но по зависящим от него причинам не сделал этого. Преступная неосторожность действительно предполагает беспечное отношение к своей социальной роли, выражающееся в невнимательности, непредусмотрительности, безответственном отношении. Интересы такого сотрудника будут, скорее всего, лежать далеко за пределами его работы, а основным мотивом трудовой деятельности, видимо, будет мотив стремления к межличностным контактам в процессе работы (ориентация на других людей). Например, сотрудник откладывает замену технических средств или программного обеспечения по ЗИ по каким-то личным причинам, зная, что уже существует внешняя угроза, которой старые средства противостоять не могут.

Трагическая случайность состоит в том, что сотрудник не мог или не должен был предвидеть негативных последствий своих действий. Невозможность предвидения вредных последствий может быть вызвана как субъективными особенностями лица (отсутствие необходимых знаний, навыков, опыта, болезнь и т.п.), так и обусловлена той конкретной обс¬тановкой, в которой было совершено деяние. Т.е. неблагоприятные пос¬ледствия были итогом ошибки вследствие фатального соединения неблагоприятного стечения обстоятельств и индивидуальных особенностей сотрудника. Например, сотрудник не знал, как вести себя во время чрезвычайной ситуации, в результате чего произошла утрата конфиденциальной информации.

УМЫШЛЕННЫЕ ПРЕСТУПЛЕНИЯ

Умышленные нарушения режима конфиденциальности - самый опасный вид нарушений, характеризующийся целенаправленностью, методичностью и продуманностью. Умышленные преступления наиболее опасны, т.к. сотрудник  стремится получить больше благ в ущерб интересам фирмы. Меры противодействия в этом случае будут достаточно сложны и затратны.
Можно выделить два основных типа умышленных преступлений в СЗИ – корыстные и некорыстные нарушения режима конфиденциальности. Каждый из этих типов по-разному влияет на уязвимость информации.

Корыстное нарушение - сознательный поступок, имеющий вполне определенную цель - получение материальной выгоды от совершенных действий. Умысел заключается здесь в ожидании получения какого-либо блага от конкурента или иного заинтересованного лица за действия, которые, как известно сотруднику, нанесут ущерб. Хотя ущерб в данном случае не является самоцелью, но допускается, т.к. в сравнении с желаемым материальным благом для сотрудника не имеет большой отрицательной ценности. Понятно, что такой сотрудник будет обладать не только выраженной корыстной направленностью личности, но и отличаться негативным или безразличным отношением к таким социальным ценностям как справедливость, честность, добросовестность и т.п.

При умышленном нарушении конфиденциальности фактическое пособничество внешнему противнику (разведывательной службы конкурента, представителей криминальных структур, государственных коррумпированных структур) может реализоваться тремя основными способами: инициативное сотрудничество, спровоцированное сотрудничество, сотрудничество под влиянием.

Инициативное сотрудничество - добровольное содействие внешнему противнику, совершаемое или начинаемое по собственной инициативе. Мотивационное основание инициативного сотрудничества часто лежит в стремлении человека к достижению успеха, иногда любой ценой. Не рассматривая сейчас все возможные мотивы, которые могут приводить сотрудника к поиску контактов с конкурентом, следует отметить большую активность такого сотрудника, а также его склонность к рискованным мероприятием, т.к., безусловно, любой контакт с конкурентом может быть раскрыт со всеми вытекающими отсюда последствиями.

Спровоцированное сотрудничество - содействие сотрудника внешнему противнику, так или иначе обусловленное активными действиями лиц (или лица), уполномоченных конкурентом (или любым другим злоумышленником), направленными на сотрудника. Подобное воздействие основано на том, что злоумышленник пытается активизировать потенциальные мотивы сотрудника, направленные на личное обогащение или другие сугубо личные цели, действуя по определенным правилам.

Сотрудничество под  влиянием  - содействие сотрудника внешнему противнику, когда сотрудник имеет первоначально вполне одобряемые убеждения и мотивы,  но изменяет их в результате активного воздействия  внешнего противника.  Это  сотрудничество обусловлено вновь сформированными мотивами деятельности сотрудника, хотя бы и временными.

При склонении сотрудника злоумышленником к нарушению режима конфиденциальности в основном используются следующие мотивы: месть, ревность, корысть, игра, тщеславие. 

Месть - мотив сотрудника, ощущающего себя несправедливо наказанным или обойденным, униженным и т.п., который выражается в чувстве обиды на руководство организации, своего непосредственного начальника или коллег. Такой сотрудник стремится нанести ущерб обидчику в ответ на субъективно воспринятую несправедливость по отношению к себе, за причиненное зло, за действия, существенно затрагивающие интересы его или его близких. Ущерб часто разделяют как источник обиды, так и фирма.

Еще один "бескорыстный" мотив - ревность. Ревность, независимо от того, вызвана ли она действительными или ложными основаниями, всегда олицетворяет сомнение, боязнь потери какого-то блага (расположения, внимания, любви, дружбы и т.п.) и связанное с этим стремление любыми средствами удержать это благо, пользоваться вниманием, расположением другого лица. Исходя из данного определения, предметом ревности могут быть отношения начальника со своими подчиненными, отношения неформального лидера с членами своей группы и т.п. Ревность можно понимать как вид страха при стремлении обладать какой-то ценностью или удержать ее. Преступление из ревности побуждается неосознаваемым ощущением своей неполноценности и ущемленности, угрозы своему бытию. Для ревнующего человека то отношение, которое сложилось у него с другим лицом, является чем-то сверхценным, т.е. тем, что приносит не только очевидные блага, следующие из сложившихся отношений, но и удовлетворяет основные потребности человека в принятии, определенности и стабильности, безопасности, самотождественности и т.п.

Игра - мотив сотрудника с авантюристическими наклонностями, нарушающего режим конфиденциальности и наносящего ущерб фирме ради получения удовлетворения от тайного и удачного нарушения установленных правил или запретов. Для игрока характерно сочетание способности к длительной активности и импульсивности, что порождает постоянное влечение к острым ощущениям и переживаниям. Они активно ищут возбуждающие ситуации и нуждаются во внешней стимуляции, это сочетается с пренебрежением социальными нормами, правилами, обычаями и безответственностью. Это люди, в значительной степени идущие на поводу своих желаний и влечений, у них часто встречается склонность к злоупотреблению алкоголем, беспечной праздности, легкой жизни. Смысл игры для такого индивида заключается отнюдь не в выигрыше, а в самом процессе игры, в испытываемом чувстве опасности и своего превосходства над обстоятельствами и людьми.

Тщеславие - мотив сотрудника, желающего с помощью нарушения режима конфиденциальности заработать себе определенную репутацию. Такой сотрудник надеется, что наконец-то покажет всем, какой он все-таки бесстрашный, умный, способный, сильный, могущественный (эгоистическая направленность). Либо он уверен в том, что своими действиями он принесет пользу другому человеку или всему обществу, даже ценой какого-либо ущерба для себя (альтруистическая направленность). Главное, чтобы после того, как он это совершит, о нем заговорили значимые для него люди. Здесь может быть важен и сам факт нанесения значительного ущерба большой организации одним человеком. Вознаграждение в этом случае может предусматриваться, но оно не является определяющим фактором.

Необходимо отметить, что вышеприведенные мотивы могут реализовываться и без участия внешнего противника. В замыслах “криминального сотрудника” для достижения своей цели его может вовсе не быть, но коль скоро они наносят ущерб предприятию, играют ему на руку. При совершении таких нарушений как уничтожение  или несанкционированная публикация конфиденциальной информации, блокирование доступа к ней, создание препятствий для проведения необходимых мероприятий непосредственно по защите информации, создание конфликтных ситуаций и др. конкурент может и не подозревать о подобных действиях сотрудника, но, чтобы он не смог воспользоваться ситуацией или раскрыть слабости СЗИ, информация о таких нарушениях не должна раскрываться.

  (продолжение в следующих выпусках журнала)

Об авторе: Шарлот Всеволод Валерьевич, 34 года, аналитик, член Клуба сотрудников информационный служб (http://club-sis.net/rabota.php), с 1999г. постоянно выходят публикации, посвященные различным аспектам безопасности бизнеса


вернуться назад версия для печати
карта сайта




 
  

© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60, Е-mail:sb@amulet-group.ru