Научная статья на тему 'Системно-динамическое моделирование угрозы кражи интеллектуальной собственности'

Системно-динамическое моделирование угрозы кражи интеллектуальной собственности Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY-NC-ND
336
57
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
СИСТЕМНАЯ ДИНАМИКА / SYSTEM DYNAMICS / ПОВЕДЕНЧЕСКИЕ МОДЕЛИ / BEHAVIORAL MODELS / ИМИТАЦИОННОЕ МОДЕЛИРОВАНИЕ / ВНУТРЕННИЙ НАРУШИТЕЛЬ / INSIDER INTRUDER / ИНТЕЛЛЕКТУАЛЬНАЯ СОБСТВЕННОСТЬ / INTELLECTUAL PROPERTY / IMITATION MODELING

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Зайцев Антон Сергеевич, Малюк Анатолий Александрович

В статье предложена классификация внутренних угроз информационной безопасности, рассмотрен метод прогнозирования развития инсайдерских угроз при помощи системно-динамического моделирования, разработаны прогнозные поведенческие модели для угроз кражи интеллектуальной собственности в целях получения деловых преимуществ в одиночку и с соучастниками.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

System dynamics modeling of threat of intellectual property theft

An insider threat classification is adduced, method of insider threats’ countermeasure decision-making support using system dynamics modeling is considered and forecasting behavioral models for threats of theft of intellectual property for business advantages alone and with accomplices are developed.

Текст научной работы на тему «Системно-динамическое моделирование угрозы кражи интеллектуальной собственности»

А.С. Зайцев, А.А. Малюк

СИСТЕМНО-ДИНАМИЧЕСКОЕ МОДЕЛИРОВАНИЕ

угрозы кражи интеллектуальной

СОБСТВЕННОСТИ

В статье предложена классификация внутренних угроз информационной безопасности, рассмотрен метод прогнозирования развития инсайдерских угроз при помощи системно-динамического моделирования, разработаны прогнозные поведенческие модели для угроз кражи интеллектуальной собственности в целях получения деловых преимуществ в одиночку и с соучастниками.

Ключевые слова: системная динамика, поведенческие модели, имитационное моделирование, внутренний нарушитель, интеллектуальная собственность.

Введение

Исследования в области обеспечения информационной безопасности (ИБ) до недавних пор концентрировались в основном на противодействии внешним угрозам ИБ, в этих целях на сегодняшний день разработан значительный арсенал методов и средств технологического характера, стандарты и лучшие практики, претерпевшие несколько циклов совершенствования и в достаточной мере обеспечивающие защиту при правильном внедрении.

Вопрос защиты информационных активов и информационно-телекоммуникационной инфраструктуры (ИТ-инфраструктура), организации от внутренних угроз ИБ не имеет технологического решения и лежит в плоскости организационных мер гуманитарного характера. Ввиду этого на данный момент не существует общепринятых подходов к защите информационных активов и ИТ-инфраструктуры от внутреннего нарушителя ИБ.

© Зайцев А.С., Малюк А.А., 2015

Проблема защиты информации от внутреннего нарушителя является одной из наиболее сложных проблем в области ИБ, так как зависит от психологических и поведенческих аспектов, которые с трудом поддаются оценке и прогнозированию со стороны руководства. К примеру, введение санкций по отношению к нарушителю ИБ, по мнению руководства, должно привести к нейтрализации внутренней угрозы, но фактически зачастую приводит к эскалации конфликта и повышению вероятности реализации атаки саботажа с использованием информационных систем организации (ИТ-саботаж). Поэтому крайне важной научной задачей является поддержка принятия решений по реагированию на потенциальные внутренние угрозы ИБ на основе использования поведенческих моделей нарушителя.

В качестве метода для моделирования внутреннего нарушителя ИБ целесообразно использовать системную динамику Дж. Фор-рестера1. Данный метод был впервые применен для исследования внутренних угроз ИБ в 2003 г. научным коллективом Carnegie Mellon University Software Engineering Institute CERT Insider Threat Team (CERT)2, который исследовал информацию об инцидентах с участием внутренних нарушителей ИБ, полученную в открытых источниках, разработал классификацию внутренних угроз ИБ и диаграммы причинно-следственных связей (ДПСС) для всех выделенных классов угроз. Несмотря на то что полученные CERT диаграммы позволяют лучше понять поведение внутреннего нарушителя ИБ, с их помощью невозможно произвести компьютерное моделирование и прогнозирование.

Независимо от CERT системно-динамическое моделирование как метод исследования внутренних угроз ИБ был применен в работе3, в которой была разработана системно-динамическая диаграмма или диаграмма потоков (ДП), единая для всех внутренних угроз ИБ, но компьютерного моделирования также не было проведено.

В настоящей статье рассматривается метод прогнозирования потенциального поведения внутреннего нарушителя ИБ при помощи системно-динамического моделирования, разработаны прогнозные модели для угроз кражи интеллектуальной собственности (ИСб) в целях получения деловых преимуществ с соучастниками и в одиночку, а также приведены результаты тестового моделирования.

Разработка системно-динамических моделей внутреннего нарушителя информационной безопасности

Системно-динамическое моделирование любой системы, в том числе поведения внутреннего нарушителя ИБ в организации, состоит из следующих последовательных стадий.

1. Построение схемы взаимодействия основных элементов системы. На данной стадии необходимо исследовать поведение внутреннего нарушителя ИБ в организации и выделить основные кластеры факторов, влияющих на развитие внутренней угрозы ИБ.

2. Разработка ДПСС. На данной стадии необходимо детализировать основные элементы системы и их взаимодействие в виде причинно-следственных связей (ПСС), получив тем самым совокупность взаимодействующих факторов (параметров системы), определяющих поведение внутреннего нарушителя ИБ, в форме ориентированного графа. ПСС будем считать положительной, если увеличение (уменьшение) влияющего параметра системы вызывает увеличение (уменьшение) параметра, на который оказывается влияние. Если увеличение влияющего параметра системы вызывает уменьшение параметра, на который оказывается влияние, то ПСС будем считать отрицательной. Параметры системы и ПСС образуют петли обратной связи (ПОС), определяющие поведение внутреннего нарушителя ИБ. ПОС по своему характеру влияния на развитие системы также могут быть разделены на отрицательные и положительные, отрицательная ПОС стабилизирует состояние системы, положительная - ускоряет динамику изменения параметров системы. Характер ПОС определяется числом входящих в нее отрицательных ПСС: нечетное число отрицательных ПСС формирует отрицательную ПОС, четное - положительную ПОС. Элементы, не входящие в ПОС, являются экзогенными и должны задаваться аналитиком в процессе моделирования.

3. Разработка ДП. На данной стадии необходимо преобразовать ДПСС в форму системно-динамической диаграммы (ДП). Параметр, на который оказывается влияние большого числа других параметров посредством как положительных, так и отрицательных ПСС, целесообразно выделить в виде уровня. Специальные параметры ДП - темпы вызывают увеличение или уменьшение уровня. При необходимости можно использовать дополнительные элементы ДП - константы, переменные, таблицы и проч.

4. Задание параметров системы и тестовое моделирование. На данной стадии аналитиком задаются параметры системы, причем

целесообразно определить относительную значимость основных ПОС ДП и на основании этого задать характеристики ПСС, проверяя поведение системы на краевых значениях начальных параметров, в которых поведение внутреннего нарушителя ИБ зачастую очевидно. В некоторых случаях проводить отладку ДП целесообразно на уровне одного или нескольких элементов системы. Далее необходимо провести тестовое моделирование, подтверждающее или опровергающее адекватность полученной модели.

Поведение внутреннего нарушителя ИБ в корне отличается в зависимости от того, какую угрозу ИБ он реализует. Ввиду этого целесообразно производить моделирование каждой внутренней угрозы ИБ в отдельности.

Классификация внутренних нарушителей ИБ приведена в табл. 1.

Таблица 1

Классификация внутренних угроз ИБ

Внутренняя Мотив Предполагается Сговор Сговор

угроза ИБ нарушителя увольнение внутренний внешний

Саботаж Обида Не всегда Нет Нет

Шпионаж Деньги Обида Нет Нет Да

Мошенничество Деньги Нет Нет Нет

на руководящей Социальная

должности инженерия

Мошенничество Деньги Нет Нет Не

на неруководящей всегда

должности

Кража интеллектуальной собственности (ИСб) в целях полу- Бизнес- преимущества Обида Да Нет Да

чения деловых преи-

муществ в одиночку

Кража ИСб в целях Бизнес- Да Да Да

получения деловых преимущества

преимуществ

с соучастниками

Халатное немотивиро- Нет Нет Нет Нет

ванное нарушение ИБ

Манипулируемое Нет Нет Нет Соци-

немотивированное альная

нарушение ИБ инженерия

Дадим некоторые определения.

Внутренний нарушитель ИБ - текущий или бывший сотрудник организации, подрядчик или бизнес-партнер, который имеет или имел авторизованный доступ к сетям, системам или данным организации и превысил или использовал этот доступ таким образом, что нарушил конфиденциальность, целостность или доступность информации или ИС организации. Злоумышленный внутренний нарушитель ИБ намеренно нарушает ИБ организации и имеет мотив. Немотивированный (незлоумышленный) внутренний нарушитель ИБ нарушает ИБ организации ненамеренно.

Саботаж (ИТ-саботаж) - угроза ИБ, использование внутренним нарушителем ИБ информационных систем (ИС) организации для нанесения вреда организации или конкретному сотруднику4.

Кража ИСб в целях получения деловых преимуществ - угроза ИБ, кража конфиденциальной информации или ИСб организации внутренним нарушителем ИБ для использования ее на новой работе, для нахождения новой работы или организации собственного предприятия5.

Мошенничество - угроза ИБ, использование внутренним нарушителем ИБ ИС организации для неавторизованного использования, модификации или удаления данных организации (в том числе, кража персональных данных) с целью получения дохода. К мошенничеству не относятся случаи промышленного и международного шпионажа6.

Шпионаж (ИТ-шпионаж) - угроза ИБ, использование внутренним нарушителем ИБ ИС организации для сбора и передачи информации внешней стороне (конкурирующей организации или иностранному государству) в целях выгоды для внешней стороны без намерения покинуть организацию после передачи информации. Если внешняя сторона является конкурирующей организацией, то применяется термин «промышленный шпионаж». Если внешняя сторона является иностранным государством, то применим термин «международный шпионаж».

Термины «инсайдер» и «внутренний нарушитель» равнозначны.

На основе проанализированных исследований, а также информации об инцидентах ИБ с участием внутренних нарушителей, полученной из открытых источников, разработаны типовой сценарий развития инсайдерского правонарушения и схема взаимодействия основных элементов системы поведения внутреннего нарушителя ИБ, единая для всех внутренних угроз ИБ.

Ключом для совершения правонарушения является мотивация внутреннего нарушителя ИБ. Для угрозы шпионажа, кражи ИСб в целях получения деловых преимуществ в одиночку и с

соучастниками, а также для части сценариев мошенничества на неруководящей должности с мотивацией связан сговор с внешней стороной. Внутренний нарушитель ИБ проверяет, достаточно ли у него полномочий (технических возможностей) для реализации угрозы, и при недостатке прибегает к внутреннему сговору (для угрозы кражи ИСб в целях получения деловых преимуществ с соучастниками) или к манипуляции подчиненными (для угрозы мошенничества на руководящей должности). Поведение инсайдера, которое может нанести ущерб организации, также дает ей возможность получить информацию о реализации угрозы ИБ. Организация может различным образом реагировать на потенциальную или реализованную угрозу ИБ. Одним из вариантов санкций по отношению к внутреннему нарушителю ИБ является его увольнение. Но увольнение может также являться мотивом для совершения преступления в виде ИТ-саботажа и кражи ИСб в целях получения деловых преимуществ в одиночку и с соучастниками.

Основные элементы системы поведения внутреннего нарушителя ИБ приведены в табл. 2, а схема их взаимодействия - на рис. 1.

Таблица 2

Основные элементы системы поведения внутреннего нарушителя ИБ

№ Элемент Другие элементы, оказывающие на него воздействие

1 Мотивация инсайдера Реакция организации Сговор Увольнение инсайдера

2 Реакция организации Получение информации об инсайдере

3 Получение информации Поведение инсайдера

4 Технические возможности инсайдера Реакция организации Сговор Увольнение инсайдера Поведение инсайдера

5 Сговор Мотивация инсайдера Технические возможности инсайдера

6 Ущерб организации Поведение инсайдера

7 Увольнение инсайдера Мотивация инсайдера Реакция организации

8 Поведение инсайдера Мотивация инсайдера Технические возможности

Рис. 1. Схема взаимодействия основных элементов системы поведения внутреннего нарушителя ИБ

Системно-динамическое моделирование кражи интеллектуальной собственности в целях получения деловых преимуществ в одиночку

На основе проанализированных исследований и информации об инцидентах, полученной из других открытых источников, разработан портрет внутреннего нарушителя для угрозы кражи ИСб в целях получения деловых преимуществ в одиночку, приведенный в табл. 3, и характерные особенности угрозы, приведенные в табл. 4.

Таблица 3

Портрет нарушителя для кражи ИСб в одиночку

№ Характеристика Описание

1 Занимаемая должность в организации Разработчик ПО, научный сотрудник, менеджер по работе с клиентами, руководитель (преступники, как правило, занимают техническую позицию, но не являются привилегированными техническими пользователями)

2 Методы атаки Технически простые, с использованием легально предоставленных прав и полномочий

3 Характер действий Кража конфиденциальной информации, как правило, ИСб: ПО, секреты производства, бизнес-планы, базы клиентов, физическое оборудование

4 Длительность преступления 1 (реже 2 и больше) месяц до увольнения

5 Обнаружение преступления Сообщение от клиентов Сообщение от коллег (занимающих, как правило, нетехнические позиции в организации) Внезапное появление конкурирующего предприятия Мониторинг ИБ и ИТ-аудит Системы обнаружения и предотвращения утечки информации

Таблица 4

Характерные особенности кражи ИСб в одиночку

№ Характерная особенность Элемент

1 Большая часть инсайдеров крадет информацию, связанную непосредственно с их работой, и зачастую участвует в разработке данной информации. По мере вовлеченности инсайдера в деятельность организации растут его вклад и чувство того, что он обладает правами на произведенный продукт, в особенности если он участвовал в процессе его разработки Мотивация инсайдера

2 Для кражи ИСб в целях получения деловых преимуществ в одиночку зачастую характерна обида сотрудника на организацию Мотивация инсайдера

3 Инсайдер, как правило, не проводит подготовки или планирования Мотивация инсайдера

4 Большинство инсайдеров, осуществивших кражу ИСб в целях получения деловых преимуществ в одиночку, подписывали соглашение об ИСб. Напоминать о соглашении об ИСб и ответственности за кражу ИСб необходимо регулярно во время обучения ИБ Мотивация инсайдера

5 Инсайдеры, как правило, не воспринимают кражу ИСб в целях получения деловых преимуществ в одиночку как преступление. Преступление совершается в половине случаев в течение месяца до увольнения, и инсайдер, как правило, не имеет четкого плана использования информации Мотивация инсайдера Увольнение инсайдера Поведение инсайдера

6 Инсайдер действует в одиночку, может предпринять попытки скрыть следы Поведение инсайдера Получение информации организацией

7 Признаками кражи ИСб в целях получения деловых преимуществ в одиночку могут являться передача большого объема информации во внешнюю сеть и/или на съемный носитель, а также внезапное появление конкурирующего предприятия. Получение информации организацией

Окончание табл. 4

№ Характерная особенность Элемент

Информацию о потенциальном инциденте кражи ИСб в целях получения деловых преимуществ с соучастниками организация может получить от своих сотрудников, коллег или руководителей инсайдера, или от своих клиентов, которых инсайдер может пытаться использовать в своей деятельности

8 Объемы кражи ИСб имеют тенденцию падать при получении инсайдером информации о подозрениях организации Мотивация инсайдера Поведение инсайдера Получение информации организацией Реакция организации

9 Объемы кражи ИСб имеют тенденцию роста при заметании инсайдером следов своей деятельности Мотивация инсайдера Получение информации организацией Поведение инсайдера

Для разработки ДПСС и ДП применялась среда моделирования Уепвт, предназначенная для исследования сложных динамических систем, использовать которую можно бесплатно в научных целях. Обозначения, используемые в ДП и ДПСС в среде Уепв1ш, пояснены в табл. 5.

А.С. Зайцев, А.А. Малюк Таблица 5

Обозначения, используемые в ДП и ДПСС

Внешний вид параметра Пояснение

Уровень доступа, необходимый для получения информации Переменная или константа

Желание совершить кражу Уровень

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Уменьшение желания совершить Поток, вызывающий изменение уровня

Положительная ПСС

, - Отрицательная ПСС

ь) Логическая ПСС, неоднозначная зависимость, выражаемая в виде логической функции

совершить кражу> «Призрачная» переменная. Вспомогательный элемент, являющийся ссылкой на переменную, указанную в треугольных скобках. Используется для упрощения внешнего вида ДП/ДПСС

ДПСС для угрозы кражи ИСб в целях получения деловых преимуществ с соучастниками представлена на рис. 2.

Рис. 2. ДПСС кражи ИСб в целях получения деловых преимуществ с соучастниками

По результатам анализа ДПСС следующие параметры диаграммы были выделены в качестве уровней: Вклад инсайдера в организацию, Желание совершить кражу, Чувство обладания правами на продукт, Осведомленность сотрудников о ИБ, Доверие организации к инсайдеру, Осведомленность организации о деятельности инсайдера.

ДП для кражи ИСб в целях получения деловых преимуществ в одиночку приведена на рис. 3.

Рис. 3. ДП кражи ИСб в целях получения деловых преимуществ в одиночку

Проведем экспериментальное моделирование угрозы кражи ИСб в целях получения деловых преимуществ в одиночку. В первом эксперименте зададим низкое значение обиды инсайдера на организацию. Желание инсайдера покинуть организацию (возможно, сговор с конкурентом или начало своего предприятия) возникает на 30-й день моделируемой системы. Но несмотря на то что к 53-му дню эксперимента чувство обладания правами на разрабатываемый продукт достигает максимума, кража ИСб не была совершена ввиду высокой лояльности сотрудника (рис. 4).

О 4 8 12 16 20 24 28 32 36 40 44 48 52 56 60 64 68 72 76 80 84 88 92 96 100

Время (дни)

---Желание совершить жражу -Чувство обладания правами на продута:

Рис. 4. Желание совершить кражу и чувство обладания правами на продукт при низком значении обиды инсайдера

Произведем моделирование повторно с изменением значения параметра обиды инсайдера на организацию на максимальный. В этом случае, несмотря на то что чувство обладания правами на производимый продукт не достигает своего максимума, кража ИСб совершается ввиду низкой лояльности инсайдера (рис. 5).

О 3 6 9 12 15 15 21 24 27 30 33 36 39 42 45 48 51 54 57 60 63 66 69 72 75 78 81 84 87 90 93 96 99

Время (дни)

---Желание совершшыфажу -Чувство обладания праваминапродукг

Рис. 5. Желание совершить кражу и чувство обладания правами на продукт при высоком значении обиды инсайдера

Системно-динамическое моделирование кражи интеллектуальной собственности в целях получения деловых преимуществ с соучастниками

На основе проанализированных исследований и информации об инцидентах, полученной из других открытых источников, разработан портрет внутреннего нарушителя для угрозы кражи ИСб в целях получения деловых преимуществ с соучастниками, приведенный в табл. 6, и характерные особенности угрозы, приведенные в табл. 7.

Таблица 6

Портрет нарушителя для кражи ИСб с соучастниками

№ Характеристика Описание

1 Занимаемая должность в организации Разработчик ПО, научный сотрудник, менеджер по работе с клиентами, руководитель. Зачастую инсайдеры занимают техническую позицию, но не являются привилегированными техническими пользователями

2 Методы атаки У инсайдера не хватает полномочий, чтобы произвести кражу всего объема необходимой информации самому, поэтому ему приходится нанимать коллег

3 Характер действий Кража конфиденциальной информации, как правило, ИСб: ПО, секреты производства, бизнес-планы, базы клиентов, физическое оборудование

4 Длительность преступления 1 (реже 2 и больше) месяц до увольнения

5 Обнаружение преступления Сообщение от клиентов Сообщение от коллег (занимающих, как правило, нетехнические позиции в организации) Внезапное появление конкурирующего предприятия Мониторинг ИБ и ИТ-аудит Системы обнаружения и предотвращения утечки информации Информация об использовании украденной ИСб

Таблица 7

Характерные особенности кражи ИСб с соучастниками

№ Характеристика Элемент

1 Большая часть инсайдеров крадет информацию, связанную непосредственно с их работой, и зачастую участвует в разработке данной информации. По мере вовлеченности инсайдера в деятельность организации растет его вклад и чувство того, что он обладает правами на произведенный продукт, в особенности если он участвовал в процессе его разработки Мотивация инсайдера

2 Для кражи ИСб в целях получения деловых преимуществ с соучастниками обида инсайдера на организацию нехарактерна Мотивация инсайдера

3 Объемы кражи ИСб имеют тенденцию падать при получении инсайдером информации о подозрениях организации Мотивация инсайдера Поведение инсайдера Получение информации организацией Реакция организации

4 Объемы кражи ИСб имеют тенденцию расти при заметании инсайдером следов своей деятельности Мотивация инсайдера Получение информации организацией Поведение инсайдера

5 Объемы кражи ИСб имеют тенденцию падать ввиду долгого планирования, т. к. растет вероятность обнаружения организацией Мотивация инсайдера Поведение инсайдера Получение информации организацией

6 Чем больше сил инсайдер инвестирует в планирование, тем сложнее ему отказаться от совершения преступления Мотивация инсайдера

7 Если у инсайдера не хватает полномочий, он пытается привлечь других сотрудников. Перед наймом коллег инсайдер, как правило, производит попытки получения доступа самостоятельно Сговор Поведение инсайдера

А.С. Зайцев, А.А. Малюк Окончание табл. 7

№ Характеристика Элемент

8 Признаками кражи ИСб в целях получения деловых преимуществ с соучастниками может являться передача большого объема информации во внешнюю сеть и/или на съемный носитель, а также внезапное появление конкурирующего предприятия. Информацию о потенциальном инциденте кражи ИСб в целях получения деловых преимуществ с соучастниками организация может получить от своих сотрудников, коллег или руководителей инсайдера, или от своих клиентов, которых инсайдер может пытаться использовать в своей деятельности Получение информации организацией

9 Большинство инсайдеров, осуществивших кражу ИСб в целях получения деловых преимуществ с соучастниками, подписывали соглашение об ИСб. Напоминать о соглашении об ИСб и ответственности за кражу ИСб необходимо регулярно во время обучения ИБ Мотивация инсайдера

ДПСС для угрозы кражи ИСб в целях получения деловых преимуществ с соучастниками представлена на рис. 6.

По результатам анализа ДПСС следующие параметры диаграммы были выделены в качестве уровней: Вклад инсайдера в организацию, Желание совершить кражу, Чувство обладания правами на продукт, Вклад инсайдера в планирование, Осведомленность сотрудников о ИБ, Доверие организации к инсайдеру, Число привлеченных сотрудников, Осведомленность организации о деятельности инсайдера.

ДП для кражи ИСб в целях получения деловых преимуществ с соучастниками приведена на рис. 7.

Проведем экспериментальное моделирование с получением визуальной информации о поведении внутреннего нарушителя ИБ для угрозы кражи ИСб в целях получения деловых преимуществ с соучастниками. Желание инсайдера покинуть организацию и сговор с конкурентом (начало своего предприятия) возникают на 30-й день развития моделируемой системы, не-

удачная попытка получить доступ самостоятельно производится на 33-й день развития моделируемой системы, совершение кражи ИСб с привлечением соучастников происходит на 46-й день развития моделируемой системы. На рис. 8, 9 и 10 данные события изображены в виде функций-индикаторов (ступенек).

Рис. 6. ДПСС кражи ИСб в целях получения деловых преимуществ с соучастниками

Рис. 7. ДП кражи ИСб в целях получения деловых преимуществ с соучастниками

Наем сотрудников изображен на рис. 8. В рамках эксперимента моделируемому инсайдеру удается привлечь трех соучастников для совершения кражи ИСб.

я з

-

в

Е 1 -

-

и

а

£ к Я О ш -

I н

Я о Е-« 1

о* О 1

£ 1 03 /

£ О I

о п е- о /

сз С£ 1

ЕЗ О (Э к гг | 1 я I * 1 й / о

£ п / *

43 Су 1 н

К Е / ^

£ с / °

N Й / о / °

О 4 8 12 16 20 24 28 32 36 40 44 48 52 56 60 64 68 72 76 80 84 88 92 96 100

Время (дни)

Рис. 8. Наем соучастников кражи ИСб

Доверие организации к инсайдеру первые 40 дней демонстрирует стабильный рост за счет хорошей работы до начала преступной деятельности, а осведомленность организации об инсайдерской деятельности достигает своего максимума через месяц после совершения кражи ввиду использования уволившимся инсайдером полученной информации в деятельности конкурирующего предприятия (рис. 9).

О 4 8 12 16 20 24 28 32 36 40 44 48 52 56 60 64 68 72 76 80 84 88 92 96 100

Время (дни)

-ДоБЕфне организации!: инсайдеру

---Осведомленность организации о деятельностнннсайдера

Рис. 9. Доверие организации к инсайдеру и осведомленность об инсайдерской деятельности

Это происходит ввиду большого изначального уровня доверия организации к инсайдеру, что вызывает недостаток технического контроля над действиями инсайдера и осведомленности сотрудников организации о ИБ (рис. 10).

Далее проведем тестовое моделирование с более низким начальным значением доверия к инсайдеру (4 вместо 5). В этом случае организации удается достаточно быстро обнаружить подозрительную деятельность инсайдера, повысить осведомленность о ИБ и уровень технического контроля, что помогает предотвратить совершение кражи (рис. 11).

Рис. 10. Уровень технического контроля за инсайдером и осведомленность сотрудников о ИБ

ацию о =

Е Р О е- о Е-о /....../

/V I / , • о 1

>< 1 / > ! я £

у' / •■■... 5 / """-4 о с

о к \

О 4 8 12 16 20 24 28 32 36 40 44 48 52 56 60 64 68 72 76 80 84 88 92 96 100

Бремя (дни)

-Доверие организации к инсайдеру

---Осведомленность организации о деятельносгиинсайдера

— -Осведомленность сотрудников о ИБ ......Уровень технического контроля

Рис. 11. Уменьшение начального значения показателя доверия организации к инсайдеру

Заключение

В данной статье представлен метод поддержки принятия решений по противодействию потенциальным внутренним нарушителям ИБ на основе системно-динамического моделирования поведения инсайдеров. Разработаны типовая структура модели внутреннего нарушителя ИБ и прогнозные системно-динамические модели кражи ИСб в целях получения деловых преимуществ. Проведено тестовое моделирование, подтверждающее адекватность полученных моделей.

Примечания

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

i

Форрестер Дж. Основы кибернетики предприятия. М.: Прогресс, 1971. Silowash G, Cappelli D, Moore A.P., Trzeciak R.F, Shimeall T.J., Flynn L. Common Sense Guide to Mitigating Insider Treats. 4th ed. Software Engineering Institute. CERT Program, 2012.

Зайцев А.С., Малюк А.А. Исследование проблемы внутреннего нарушителя // Вестник РГГУ. 2012. № 14. Серия «Информатика. Защита информации. Математика». С. 114-134.

Band S.R., Cappelli D.M., Moore A.P., Shaw E.D., Trzeciak R.F. Comparing Insider IT Sabotage and Espionage: A Model-Based Analysis. Software Engineering Institute. CERT Program, 2006.

Moore A.P., Cappelli D.M., Caron T.C., Shaw E, Trzeciak R.F. Insider Theft of Intellectual Property for Business Advantage: A Preliminary Model // First International Workshop on Manager Insider Security Threats (MIST 2009). Purdue University, West Lafayette, 2009.

Cummings A., Lewellen T, Mclntire D, Moore A.P., Trzeciak R. Insider Threat Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector / Software Engineering Institute. CERT Program, 2012.

3

4

5

6

i Надоели баннеры? Вы всегда можете отключить рекламу.