Diversity w polskim IT
Alex Drozd
Alex Drozdhttps://searchinform.com/

Psychologia w bezpieczeństwie informacyjnym.

5.01.201710 min
Psychologia w bezpieczeństwie informacyjnym.

Mówi się, że najlepsza bitwa to taka, której nie było. To powiedzenie jest równie aktualne, kiedy mowa jest o bezpieczeństwie informacyjnym: najlepszy wyciek to taki, który się nie wydarzył. Żeby ich uniknąć, służby bezpieczeństwa powinny działać zapobiegawczo i być w stanie namierzać insiderów (osoby, dokonujące ataku od wewnątrz), zanim ukradną dane. Od razu nasuwa się pytanie: jak ich zidentyfikować? Czy można zauważyć skłonności do insajdu na wczesnych etapach? Postaram się udzielić odpowiedzi na te pytania na podstawie własnego doświadczenia.

Skąd taki pomysł?

Pomysł o tym, żeby identyfikować insiderów na wczesnych etapach nie wziął się znikąd. Razem z kolegą pracujemy w centrum edukacyjnym filmy SearchInform, a więc jest to nasza praca, aby uczyć rozpoznawania “podejrzanych” pracowników. Jako podstawy użyliśmy opracowanego przez CSI i FBI przeglądu problemów bezpieczeństwa informacyjnego za 2006 rok. Według tego źródła, insiderem mógł w teorii być dosłownie ktokolwiek: 

  • podwykonawca (na przykład, podczas korzystania z usług firm zewnętrznych, wybranych również na podstawie konkursu)
  • pełnoetatowy pracownik
  • niepełnoetatowy pracownik
  • pracownik tymczasowy
  • użytkownik, mający dostęp do informacji poprzez sieć
  • kolega/partner (również zagraniczny)
  • pracownik organów państwowych
  • pracownik firmy dostawcy środków, systemów i usług technologii teleinformatycznych

Oczywiście, podobne podejście jest zbyt opisowe - jeśli będziemy bazować na zawodzie/wieku/płci i innych “socjalno-demograficznych” charakterystykach pracownika, nie będziemy mogli wyciągnąć konkretnych wniosków.

Tak więc, pomysł na bardzo ogólną systematyzację zastąpiliśmy ideami Karola Junga, które leżą u podstaw kwestionariusza MBTI.

[Poniżej, jako wcięty tekst, przedstawiona jest historia i wyjaśnienie czym jest MBTI (Myers-Briggs Type Indicator) - przyp. red.]:

Na początku lat 20-tych zeszłego wieku szwajcarski psycholog założył, że zachowania człowieka nie są przypadkowe, można je przewidzieć, a więc również sklasyfikować. Według niego różnice w zachowaniach są definiowane przez podstawowe funkcje psychologiczne, które towarzyszą człowiekowi przez całe jego życie. W swojej pracy Jung wyznaczył różne typy osobowości, zgodnie z różnymi sposobami odbioru informacji jej oceny. Zaproponował trzy pary parametrów, które opisują procesy odbioru i przetwarzania informacji (ekstrawertyzm - introwertyzm, sensoryczny - intuicyjny, myślenie - emocje).

Skala "ekstrawertyzm (E) - introwertyzm (I)" opisuje preferencje osoby w odniesieniu do wykorzystywanych przez nią źródeł energii. Jung zaproponował rozróżnienie orientacji osoby na zewnętrzny świat otaczających ją rzeczy i na wewnętrzny świat własnych myśli. 

Uproszczony przykład. Jeśli potrzebujemy dokonać pewnej operacji nad aplikacją, ale nie wiemy jak, to jeśli jesteśmy ekstrawertykami, to zwrócimy się do kolegi obok, a jeśli introwertykiem – zajrzymy do instrukcji czy sprawdzi w Google.  

Skala "sensoryka (S) – intuicja (N)" opisuje preferowany przez osobę sposób na zbieranie informacji. Według Junga, istnieją na to dwa sposoby: poprzez uczucia (sensoryka) lub intuicję. 

Uproszczony przykład. Jeśli sensoryk zobaczy świeżo pomalowaną ławeczkę, oznaczoną karteczką “Uwaga!”, to na pewno dotknie ławeczki palcem, w odróżnieniu od kierującego się intuicją człowieka, który ufa informacjom na karteczce. 

Skala "myślenie (T) – emocje/uczucia (F)" opisuje proces podejmowania decyzji.  Koncepcja Junga zakłada obecność dwóch podstawowych preferencji: ścieżka opierająca się na logice i obiektywnym myśleniu i ścieżka, kierującą się subiektywnym systemem wartości, własnych preferencji i uczuć.

Uproszczony przykład. "Myślący" typ osobowości charakteryzuje nowego znajomego jako "Podoba mi się, dlatego że …" (dalej przedstawi argumenty). "Czujący" typ osobowości powie "Podoba mi się i tyle! Nie mam pojęcia, dlaczego".

Następczynie Junga, Catherine Briggs i Isabel Briggs-Myers dodały jeszcze jedną skalę – "ocena – percepcja" i opracowały kwestionariusz MBTI (Myers-Briggs Type Indicator) do diagnozowania typu osobowości człowieka.

Skala "ocena (J) – percepcja (P)" opisuje preferowany sposób współdziałania z otoczeniem. Według Briggs, istnieje jeszcze jedna para kryteriów: orientacja na ocenę informacji i orientacji czy podejmowania decyzji   – osoba korzysta podczas interakcji ze światem zewnętrznym.

Uproszczony przykład. Podczas dyskusji na jakikolwiek temat, osobowość "oceniająca/decydująca" będzie wolała wypowiedzieć własną opinię , podczas kiedy typ "odbierający" na odwrót, wysłucha opinii innych i może podzieli się własnymi przemyśleniami. 

Kombinacje preferencji osoby według każdego z kryteriów pozwalają wyróżnić 16 psychologicznych typów osobowości. Każdy z nich dla wygody jest oznaczany formułą, która zawiera nazwy najbardziej wyrażonych biegunów. 

Nazwa skali

Orientacja na uczucia (S)

Orientacja na intuicję (N)

Orientacja na myślenie (T)

Orientacja na uczucia i emocje (F)

Orientacja na uczucia i emocje (F)

Orientacja na myślenie (T)

Introwertycy (I)

Skłonność do oceniania, dążenie do podejmowania decyzji (J)

ISTJ

ISFJ

INFJ

INTJ

Skłonność do obserwacji (P)

ISTP

ISFP

INFP

INTP

Ekstrawertycy (E)

Skłonność do obserwacji (P)

ESTP

ESFP

ENFP

ENTP

Skłonność do oceniania, dążenie do podejmowania decyzji (J)

ESTJ

ESFJ

ENFJ

ENTJ

Na przykład ESTP – ekstrawertyczna (E), skłonna do odbierania informacji o jej otoczeniu przez organy uczuć (S), zorientowana na myślenie (Т), skłonna do zajmowania pozycji obserwatora (P) osobowość. Istnieją również “nieoficjalne”, ale wystarczająco “mówiące”, wyrażające odbicie zestawów cech w rzeczywistości "etykiet". Na przykład, ESTJ – administrator, ISTJ – inspektor, ESTP – marszałek, ESFJ – entuzjasta itd.

Oczywiście, podobna "etykieta" nie może zastąpić formuły typu osobowości, a często to właśnie zbyt ogólny jej charakter prowadzi do ignorowania drobnych szczegółów, zniekształcenia obrazu osoby. Jednak wskazane wyżej “ksywki” są dość popularne.

Człowiek rozwija własne preferencje w bardzo wczesnym wieku i w przyszłości dość mocno kieruje się nimi. Im więcej korzystamy z własnych preferencji – zarówno jak z zamiarem, tak i bez – tym bardziej będziemy skłonni kierować się nimi w przyszłości.  Oczywiście nie oznacza to, że od czasu do czasu nie możemy korzystać z cech, które nie odnoszą się do zestawu naszych preferencji. Na odwrót, im bardziej dojrzały staje się człowiek, tym bardziej bogate we wrażenia i różnorodne staje się jego życie dzięki wykorzystaniu niedominujących cech. Mimo to, nie mogą one zastąpić rzeczywistych preferencji: ekstrawertyczna osoba nigdy nie stanie się introwertyczna i na odwrót.

Ponadto, według dostępnych danych, przynależność do konkretnego typu jest dość mocno powiązana z zawodem, pozycją w pracy, społeczeństwie i innymi podobnymi charakterystykami. Tak, kierownicy to najczęściej “administratorzy” (ESTJ)  czy inspektorzy (ISTJ), a bardzo rzadko “lirycy” (INFP):

Jednak jeśli podobny podział istnieje wśród kierowników, to logiczne wydaje się założenie, że podział może również działać w obrębie insiderów. Innymi słowy osoby o pewnych typach osobowości mogą być bardziej skłonni do insajdu, niż osoby o innych. Potwierdzeniem, choć i nie bezpośrednim, mogą służyć wyniki badania Erica D. Shawa i Harleya V. Stocka “Indykatory ryzyk behawioralnych dla indentyfikacji wewnętrznych kradzieży własności intelektualnej” (“Behavioral Risk Indicators of Malicious Insider Theft of Intellectual Property: Misreading the Writing on the Wall”), w których zostały opisane kluczowe modele zachowań charakterystycznych dla insiderów winnych kradzieży własności intelektualnej.

Dla każdego typu osobowości istnieją zarówno wystarczająco pełne opisy, jak i listy kluczowych cech. W im większym stopniu dana osoba odpowiada tym cechom, w tym większym stopu pewien typ osobowości tej osoby jest wyrażony. Nawet bardzo krótka lista cech pomaga we wnioskowaniu na temat tego, co dana osoba może zrobić. Na przykład tak wygląda lista kluczowych cech osoby, przynależnej do grupy ESTP (“marszałek”) i jego alter-ego typu SLE (sensoryczno-logiczny ekstrawertyk):

  1. Dobrze rozwiązuje zadania taktyczne.
  2. Lider hierarchiczny ukierunkowany na cel.
  3. Sposób ustalania kontaktu jest zorientowany na obiektywne wskaźniki.
  4. Forma aktywności biznesowej zorientowana na pokonanie przeszkód.
  5. Interakcja z podwładnymi zakłada kontrolę administracyjną.
  6. Skłonny do konkurencji.
  7. Osiąga wysokie wyniki w biznesie, niezależnie od relacji z ludźmi.
  8. Skłonność do negowania etyki w biznesie; uważa, że cel uświęca środki.
  9. Motywy i cel: egoizm, plany karierowe, dążenie do sukcesu życiowego, skupienie na przychodach i sukcesie własnej firmy.
  10. Percepcja prawa: skłonny do ryzyka kryminalnego. Jeśli będzie taka możliwość, pokona przeszkody prawne.
  11. Strategia: dobrze odnajduje się w sytuacji, zorientowany na korzystne możliwości zwiększenia przychodów w biznesie.

Punkty 8 - 10 zwracają na siebie szczególną uwagę w kontekście rozmów na temat bezpieczeństwa informacyjnego. Po przeanalizowaniu wszystkich typów osobowości z punktu widzenia orientacji etycznej i biznesowej, razem z kolegą udało się nam określić najbardziej “niebezpieczne”, czyli takie, które mogą zakładać skłonności do popełnienia inside’u.

Nazwa skali

Orientacja na uczucia (S)

Orientacja na intuicję (N)

Orientacja na myślenie (T)

Orientacja na uczucia i emocje (F)

Orientacja na uczucia i emocje (F)

Orientacja na myślenie (T)

Introwertycy (I)

Skłonność do oceniania, dążenie do podejmowania decyzji (J)

ISTJ

ISFJ

INFJ

INTJ

Skłonność do obserwacji (P)

ISTP

ISFP

INFP

INTP

Ekstrawertycy (E)

Skłonność do obserwacji (P)

ESTP

ESFP

ENFP

ENTP

Skłonność do oceniania, dążenie do podejmowania decyzji (J)

ESTJ

ESFJ

ENFJ

ENTJ

Czerwone tło (ESTP, ESFP) oznacza większe prawdopodobieństwo tego, że przedstawiciel danego typu osobowości zostanie insiderem.

Pozostaje tylko ustalić typy osobowości pracowników, co również nie jest łatwe:

  1. Z jakiego narzędzia trzeba korzystać?
  2. Kto będzie tym się zajmował?
  3. Jak postąpić z otrzymanymi wynikami?

Jako narzędzie do ustalenia typu osobowości, można użyć wspomnianego wyżej indykatora typów Meyers-Briggs (MBTI) czy adaptację metodyki wyznacznika temperamentu (Keirsey Temperament Sorter) D. Kierseyego. W praktyce warto używać wersji komputerowych wspomnianych metodologii.

Na potrzeby prezentacji realnego przypadku używam "systemu profesjonalnego testu psychologicznego", który realizuje zarówno wskazane, jak i niektóre inne instrumenty psychologiczne. Nazwa tego programu jest taka rozwlekła, bo to nasze wewnętrzne narzędzie, którego nie sprzedajemy. W internecie można znaleźć podobne testy, które realizują zbliżoną funkcjonalność. Test MBTI na potrzeby prywatne jest dostępny np. na stronie https://www.16personalities.com/.

Zastosowanie w praktyce

Zdecydowaliśmy się sprawdzić rozważania teoretyczne w praktyce. Oczywiście, w roli “króliczków” wystąpili pracownicy naszego zespołu. Czas potrzebny jednej osobie do wypełnienia testu to ok. 30-40 minut.

Wyniki testu jednego z pracowników są pokazane poniżej. Pierwszy z parametrów, jaki uzyskaliśmy to typ MBTI, ale pokazuje to wierchołek góry lodowej. Więcej przydatnych informacji znajdziemy w dalszym opisie.

Typ osobowości: INFJ

  • Humanista: kierownik-wychowawca

Surowa punktacja:

  • E: 7 punktów, I: 18 punktów
  • S: 14 punktów, N: 14 punktów
  • T: 17 punktów, F: 14 punktów
  • J: 18 punktów, P: 10 punktów

Wyrazistość preferencji:

  • I: 70.48% - wyrazista, E: 29.52%
  • N: 56.67% - niewyrazista, S: 43.33%
  • F: 54.50% - niewyrazista, T: 45.50%
  • J: 67.96% - niewyrazista, P: 32.04%
  • Wyrazistość typu osobowości: słaba

Niestety, jeden z naszych współpracowników nie miał szczęścia - będziemy go pilnować :)

Jednak MBTI to nie jedyne dostępne narzędzie. Postanowiliśmy poprosić badanych o wypełnienie testu na skłonność do ryzyka ("Cechy osobowości w procesie decyzyjnym" T. Kornilowoj) i test na poziom intelektu społecznego ("4-czynnikowy test intelektu społecznego" Michael O'Sullivan, M., i Guilford, J. P.).

Pierwszy wyznacza dwa parametry: racjonalność i skłonność do ryzyka. Najczęściej te dwie cechy są antagonistami wobec siebie. Insiderzy są bardziej skłonni do ryzyka. Przykładowa interpretacja wyniku wygląda tak:

Cechy osobowości związane z podejmowaniem decyzji

Racjonalność: poziom średni:

  • Zdolny do logicznego potwierdzenia racjonalności własnych działań, posiada pewną intuicję, w niektórych przypadkach jest roztropny. Wystarczająco uważny (nie podejrzliwy) i pewny siebie (zorientowany na własne decyzje)

Gotowość do podejmowania ryzyka: niski poziom

  • Brak śmiałości w społeczeństwie, nie jest gotowy do wzięcia na siebie odpowiedzialności, polega na “sprawdzonych rozwiązaniach”, niezdecydowany, pasywny, zależny od decyzji innych osób.

Test do wyznaczenia intelektu społecznego wskazuje na to, jak dobrze badana osoba potrafi “czytać” intencje innych ludzi, przewidzieć sytuacje i poprawnie je interpretować (a więc również obracać je na swoją korzyść).

Nazwa czynnika/subczynnika Surowa punktacja Standardowa punktacja Poziom

Historie z zakończeniem/implikacje behawioralne

14 5 Wysoki
Grupy ekspresji/klasy behawioralne 8 3 Średni
Ekspresja werbalna/transformacje behawioralne 9 3 Średni
Historie z dopełnieniem/systemy behawioralne 7 3 Średni
Złożona ocena  38 4 Średni

Warto pamiętać, że wielu insiderów są też dobrymi manipulatorami.

Przeglądając wyniki testu, trzeba zawracać uwagę na nie tylko “standardową” punktację, ale też na tę “surową”, ponieważ właśnie ona daje więcej wglądu w osobowość badanego. Jak wiemy, insider - to dość rzadki gatunek :)

Teraz jest czas na odpowiedź na drugie pytanie: kto powinien tym się zająć? Nie powinni to być pracownicy działu bezpieczeństwa ("co, nie mamy swojej pracy?"). Najmniej podejrzanie będzie wyglądał dział HR, a więc zadanie przeprowadzenia testów można przekazać im. Dział odpowiedzialny za bezpieczeństwo informacyjne zajmie się interpretacją wyników.

Pracować można według przykładowego algorytmu:

  1. Dział HR przeprowadza test.
  2. Wyniki są przekazywane do działu bezpieczeństwa.
  3. Mając wiedzę na temat typu osobowości pracownika, dział bezpieczeństwa ustala jego potencjalna skłonność do inside’u (biorąc pod uwagę nie tylko kluczowe cechy typu osobowości, ale też inne zmienne: wyraźność tych cech, skłonność do ryzyka, poziom intelektu społecznego).

Nastaje czas odpowiedzi na trzecie pytanie: co zrobić z wynikami? Tu sytuacja jest dość oczywista. Jeśli pracownik wykazuje silną przynależność do podejrzanego typu, to najlepiej mieć na niego oko.

Jeśli chodzi o dokładność tej metody, to też nie ma problemu. Opisane podejście raczej nie będzie w stanie zamienić doświadczenie profesjonalnego kierownika, oceny ekspertów czy wyniki innych metod badania osobowości. Z drugiej strony, podobne testy mogą zrekompensować brak doświadczenia menedżerskiego, pomóc w sytuacji, kiedy nie możemy poradzić się u ekspertów czy zastosować inne metody.

Wnioski

Na koniec, chciałbym zaznaczyć, że dokonana próba wykrycia potencjalnej skłonności pracownika do inside’u nie jest wyjątkową praktyką. Podobne podejścia są praktykowane w innych powiązanych obszarach. Przykładowo testy do policji i innych służb mundurowych mają podobne cele. Im więcej kandydat będzie miał do czynienia z danymi poufnymi tym są dokładniejsze (służby specjalne, wywiad).

Jasne jest, że duże zastosowanie takie podejście będzie miało w instytucjach rządowych. Jednak w firmach prywatnych może mieć równie duże znaczenie. Szpiegostwo gospodarcze nie jest terminem SciFi, ale procederem, który ma miejsce. Dlatego myślenie o bezpieczeństwie danych z uwzględnieniem czynnika ludzkiego jest równie ważne co zabezpieczenia informatyczne. Dostęp do danych wrażliwych powinien być jak najmniejszy. Tego typu testy mogą pomóc w wytypowaniu osób, które z psychologicznego punktu widzenia powinny się z nimi obchodzić w odpowiedzialny sposób.

Ten artykuł nie objawia najwyższej prawdy, a jest jedynie próbą pokazania, że psychologię można zaprzędz w służbie bezpieczeństwa informacyjnego. We właściwym podejściu powinny być używane testy specjalnie zaprojektowane pod potrzeby konkretnej branży (czy też typu stanowiska). Ale jak to mówią - najważniejsze to zrobić pierwszy krok.

<p>Loading...</p>