Бизнес несет убытки не только от последствий ошибок, но и от затрат на их расследование. Чтобы минимизировать эти расходы, системы безопасности должны уметь различать небрежность и умысел, опираясь на объективные цифровые следы. Давайте разберемся, как это сделать.
Суть проблемы: не все ошибки одинаково случайны
Представьте ситуацию: бухгалтер случайно вводит в платежное поручение сумму в 100 000 рублей вместо 10 000. Она замечает ошибку через несколько секунд и исправляет ее. Это типичная опечатка, следствие человеческого фактора и недостаточного внимания.
Совсем другая картина, когда сотрудник намеренно меняет реквизиты счета уже после подписания договора. В итоге деньги уходят мошенникам. Это уже диверсия или мошенничество.
Ключевой вопрос для службы безопасности: как автоматически определить, где случайность, а где злой умысел? Держать над каждым сотрудником наблюдателя с лупой - не выход.
Решение: анализ паттернов поведения. Это включает в себя изучение того, как пользователь взаимодействует с системой: как он кликает, печатает, вносит правки, сколько времени тратит на обдумывание. Специализированные компьютерные программы (модели) обучаются отличать "обычные ошибки" от "преднамеренных действий" на основе этих цифровых отпечатков.
Государство различает случайность и умысел: последствия разные
Разграничение между случайной ошибкой и умышленным действием имеет серьезные юридические последствия:
- Случайная ошибка: Как правило, влечет за собой дисциплинарные меры или гражданский иск. Уголовное преследование в таких случаях маловероятно.
- Доказанный умысел (намерение украсть или навредить): Подпадает под действие уголовного законодательства. Например:
- Статья 159.6 УК РФ (Мошенничество в сфере компьютерной информации): Применяется, если человек намеренно изменил данные в электронном документе с целью завладеть чужими средствами.
- Статья 272 УК РФ (Неправомерный доступ к компьютерной информации): Если такой доступ привел к модификации или уничтожению данных.
Для эффективной работы службы безопасности критически важно собирать цифровые следы, которые однозначно указывают на умысел, а не на простую опечатку. Только так можно будет доказать факт преступления и передать дело в правоохранительные органы.
Как отличить опечатку от диверсии: ключевые признаки
Чтобы понять, имеем ли мы дело с простой опечаткой или преднамеренной диверсией, стоит обратить внимание на три основных аспекта:
- Скорость реакции: Как быстро сотрудник заметил и исправил ошибку.
- Метод исправления: Было ли исправление внесено вручную, скопировано из другого источника или выполнено с помощью скрытых команд.
- Контекст: Когда и при каких обстоятельствах происходит правка (до или после согласования, в рабочее время или ночью, перед увольнением или нет).
Рассмотрим на примерах:
Пример 1: Обычная опечатка (зеленый свет)
Что происходит:
Сотрудник вводит в поле «Сумма» число «1000000» вместо «100000». Через 2-3 секунды он нажимает Backspace, стирает лишний ноль и вводит правильные цифры. Затем продолжает работу.
Почему это нормально:
- Мгновенная реакция: Ошибка замечена и исправлена практически сразу (1-3 секунды).
- Ручное исправление: Правка внесена непосредственно с клавиатуры, без задержек.
- Простота действий: Никаких лишних манипуляций, вроде копирования или открытия других окон.
Что фиксирует система:
Короткое время правки, ввод с клавиатуры, исправление в том же поле.
Вердикт: Обычная опечатка. Не требует дополнительного внимания.
Пример 2: Диверсия с подменой реквизитов (красный флаг)
Что происходит:
Менеджер редактирует карточку контрагента. Вместо того чтобы ввести новые реквизиты вручную, он открывает внешний файл на рабочем столе (например, «договор_новый.doc»), копирует оттуда расчетный счет (Ctrl+C) и вставляет его в базу данных (Ctrl+V). После этого он делает паузу на 2 минуты, не двигаясь, а затем сохраняет изменения. Впоследствии он несколько раз открывает тот же договор, словно проверяя.
Почему это подозрительно:
- Копирование из внешнего источника: Это частый способ подмены данных. При случайной ошибке человек, как правило, перепечатывает информацию вручную.
- Длительная пауза перед сохранением: Двухминутная задержка указывает на осознанное действие, возможно, на преодоление сомнений или страха. Это не похоже на быструю реакцию на опечатку.
- Повторное открытие документа: После внесения изменений менеджер снова обращается к исходному файлу. Это может быть проверкой, успешно ли прошла подмена. При случайной ошибке такой проверки обычно не происходит.
Что фиксирует система:
Использование буфера обмена, длительные паузы (более 30 секунд), непрофильные действия (открытие посторонних файлов).
Вердикт: Сигнал тревоги для службы безопасности. Особую настороженность вызывает ситуация, когда правка реквизитов происходит после того, как договор уже был согласован - это классический признак мошенничества.
Пример 3: Саботаж перед увольнением
Что происходит:
Системный администратор узнает, что его увольняют завтра. Вечером (в 23:00) он подключается к серверу с резервными копиями - действие, которое он никогда не совершал в рабочее время. Он запускает команду, которая отключает систему резервного копирования.
Почему это диверсия:
- Нетипичное время: Действия происходят ночью, что не соответствует обычному рабочему графику.
- Доступ к нерабочей системе: Администратор обращается к системе, которая не связана с его текущими рабочими задачами.
- Неиспользуемая команда: Выполняется команда, которую ранее сотрудник никогда не применял.
- Мотивация: Все происходит после уведомления об увольнении, что является сильным индикатором мести.
Что фиксирует система:
Три аномалии одновременно - система автоматически поднимает тревогу.
Вердикт: Почти 100% вероятность злого умысла.
UEBA: как система автоматически выявляет аномалии в поведении сотрудников
Технология UEBA (User and Entity Behavior Analytics) - это "аналитика поведения пользователей". Ее суть проста и эффективна:
Система проводит детальное наблюдение за каждым сотрудником на протяжении нескольких недель, анализируя:
- Стандартное рабочее время.
- Используемый софт.
- Скорость набора текста.
- Частоту и характер ошибок.
- Методы ввода данных (копирование/ввод вручную).
На основе собранных данных формируется "цифровой профиль" сотрудника. При резком отклонении от установленной нормы (например, внесение изменений в согласованную сумму в нерабочее время) система генерирует оповещение.
Для этого не нужны суперкомпьютеры. Достаточно собрать логи с рабочих мест и настроить простые правила:
|
Тип правила |
Что ищет |
Пример |
|
Временное |
Действия в нерабочие часы |
Правка договора в 2 часа ночи |
|
Контекстное |
Правка после согласования |
Изменение суммы после подписи директора |
|
Поведенческое |
Необычный способ ввода |
Вставка из буфера вместо ручного набора |
|
Маркерное |
Доступ к чужим разделам |
Бухгалтер лезет в настройки сервера |
Чек-лист для службы безопасности: Что внедрить уже завтра
Чтобы не гадать, а точно отличать случайные опечатки от преднамеренных диверсий, внедрите три простых шага:
Шаг 1. Собирайте не только факты, но и «черновики» изменений
Стандартные логи фиксируют лишь конечный результат: «Петров изменил сумму с 1000 на 10 000». Но для глубокого анализа вам потребуется больше деталей:
- Время между открытием документа и внесением правки: Если пауза превышает минуту, стоит задуматься.
- Способ ввода данных: Были ли изменения внесены вручную или скопированы/вставлены? Большинство систем (1С, Excel, CRM) способны фиксировать эту информацию.
- Количество попыток внесения изменений: Одна правка с последующим сохранением или пять неуверенных шагов перед финальным решением?
Шаг 2. Настройте простые триггеры на основе логики (без сложного ИИ)
Даже без дорогостоящих систем можно задать базовые правила для автоматического оповещения:
- Изменение суммы или реквизитов после статуса «Согласовано»: Немедленно уведомляйте службу безопасности.
- Правка в нерабочее время (например, после 21:00) с суммой свыше 100 000 ₽: Требует дополнительной проверки.
- Открытие сотрудником документа, к которому он ранее не имел доступа (например, кадрового приказа): Инициируйте аудит.
Шаг 3. Внедрите «песочницу» для подозрительных правок
Самый практичный совет: любое изменение критически важных реквизитов (счет, сумма, получатель) после утверждения документа должно автоматически отправляться на повторное подписание или блокироваться до проведения проверки. Это эффективно пресекает до 90% диверсий, поскольку злоумышленнику придется обманывать двух человек.
Шаг 4. Обучайте сотрудников, но не запугивайте
Важно донести до персонала: «Мы фиксируем не ошибки, а подозрительные паттерны поведения. Если вы случайно допустили опечатку и сразу же исправили ее, никто не будет проводить расследование». Иначе сотрудники начнут скрывать даже безобидные ошибки, что помешает вам собрать достоверную статистику «нормы».
Итог в одной фразе:
Опечатка исправляется мгновенно, вручную и без пауз. Диверсия же всегда проявляется как аномалия: в неподходящее время, не тем способом, не из нужной роли, с явным колебанием перед сохранением.
Внедрение даже простых триггеров и анализ времени правки в сочетании со способом ввода позволит вам перестать тонуть в ложных тревогах и начать эффективно выявлять реальных злоумышленников.
Делитесь с коллегами!
———
Мы делаем сложное понятным! ИД Советник, ж-л Директор по безопасности, ж-л Безопасность компании
Подписывайтесь на наши ресурсы:
