Москва, г. Москва и Московская область, Россия
Москва, г. Москва и Московская область, Россия
Целью научной работы является выявление основных особенностей влияния неудовлетворенного работника предприятия на уровень информационной безопасности. Для достижения поставленной цели, представлены результаты анализа мотивации неудовлетворенного работника. Также предложена методика формирования модели нарушителя – неудовлетворенного работника с помощью базы данных (БД) угроз безопасности информации, сформированной ФСТЭК РФ, а также БД угроз, сформированной MITRE. Новизной работы является предложенная креативная концепция формирования модели нарушителя – неудовлетворенного работника предприятия, основанной на совместном применении БД угроз, сформированных ФСТЭК РФ и MITRE. Результатом исследования являются рекомендации по применению предложенной методики создания модели нарушителя – неудовлетворенного работника предприятия (в том числе работавшего на предприятии ранее).
информационная безопасность, защита информации, автоматизация, защита от APT, защита от целевых продолжительных атак повышенной сложности
Введение
Для современных транспортных и промышленных предприятий, относящихся к объектам критической информационной инфраструктуры (КИИ), решение задачи обеспечения информационной безопасности является актуальной проблемой. В свою очередь, неудовлетворенный работник предприятия может стать источником угроз, а также повлиять на уровень информационной безопасности. Целью работы является исследование степени влияния неудовлетворенного работника транспортного предприятия на уровень информационной безопасности.
На данный момент наиболее опасными считаются атаки класса Advanced Persistent Threats – целевые продолжительные атаки повышенной сложности (APT) [1 – 8].
При этом одной из особенностей данных атак является использование трудовых ресурсов предприятия в качестве механизма преодоления систем защиты. При реализации APT злоумышленники применяют методы социальной инженерии. Неудовлетворенный работник становится объектом угрозы.
Кроме того, неудовлетворенный работник предприятия может по собственной воле оказаться субъектом угрозы.
Мотивация неудовлетворенного работника предприятия
Согласно принятой модели мотивации работников предприятия, основными факторами являются: внешний (размер материальных вознаграждений работников); внутренний (психологический аспект); социальный (льготы, пособия, дополнительные стимулирующие выплаты и т.д.) [9, 10].
Если социальный фактор мотивации регулируется нормами и законами на государственном уровне, то управление внешним и внутренним факторами мотивации работников напрямую зависит от рациональности принятых решений руководством предприятия.
Согласно рис. 1, на удовлетворенность своей работой сотрудника предприятия в первую очередь влияют внешний и внутренний факторы мотивации.
Рис. 1. Влияние фактором мотивации на неудовлетворенность работника
Fig. 1. The influence of motivation factors on employee dissatisfaction
Важно отметить, что «карьерный рост» относится как к внешнему, так и к внутреннему факторам мотивации работников предприятия.
Удовлетворенность сотрудника предприятия своей работой напрямую влияет на его устойчивость к методам социальной инженерии и на стремление отомстить.
Для полной оценки устойчивости сотрудника к методам социальной инженерии и стремления отомстить необходимо помимо факторов внешней и внутренней мотивации учитывать психологическое состояние работника. В данном исследовании представлен пример оценки удовлетворенности в зависимости от внешних и внутренних факторов мотивации.
В табл. 1 представлен пример назначения весов факторов мотивации по 10‑ти балльной шкале.
Значение каждого фактора мотивации определяется экспертной группой эмпирическим путем.
Таблица 1
Пример назначения весов факторам мотивации
Table 1
Example of assigning weights to motivation factors
|
|
Фактор мотивации |
Вес (w) |
|
1 |
Размер заработной платы |
8 |
|
2 |
Карьерный рост |
10 |
|
3 |
Взаимоотношением с руководством |
7 |
|
4 |
Взаимоотношение с коллективом |
6 |
Формирование модели нарушителя с помощью БД угроз безопасности информации ФСТЭК РФ
Согласно БД угроз безопасности информации АСУ ТП, сформированной ФСТЭК РФ [11], в качестве источника угроз (характеристики и потенциала нарушителя) – субъекта угрозы – выступают:
– внешний нарушитель с высоким потенциалом;
– внешний нарушитель со средним потенциалом;
– внешний нарушитель с низким потенциалом;
– внутренний нарушитель с высоким потенциалом;
– внутренний нарушитель со средним потенциалом;
– внутренний нарушитель с низким потенциалом.
Категория «неудовлетворенный работник предприятия» может относиться к любому источнику угроз:
– внутренний нарушитель (со средним, низким потенциалом) – сотрудник предприятия;
– внутренний нарушитель (с высоким потенциалом) – сотрудник отдела информационной безопасности предприятия;
– внешний нарушитель (со средним, низким потенциалом) – сотрудник, ранее работавший на предприятии;
– внешний нарушитель (с высоким потенциалом) – сотрудник, ранее работавший на предприятии в отделе информационной безопасности.
База данных угроз безопасности информации ФСТЭК РФ сформирована таким образом, что для отдельного вида ресурса (объекта угроз) ставится в соответствие возможные сценарии реализации и субъекты угроз.
Формирование модели нарушителя с помощью БД MITRE
Концепция формирования модели угроз MITRE состоит в составлении списка тактик и техник угроз относительно этапа реализации угрозы.
Для каждой тактики в БД MITRE сформирован список техник.
Всего в БД MITRE 14 тактик:
– «Reconnaissanse» (этап разведки) – включает 10 техник;
– «Resource Development» (этап исследования и анализа структуры ресурсов – объекта угрозы) – включает 8 техник;
– «Initial Access» (первоначальный, первичный доступ) – включает 10 техник;
– «Execution» (этап исполнения) – включает 14 техник;
– «Presistence» (этап закрепления) – включает 20 техник;
– «Privilege Escalation» (этап увеличения прав и привилегий) – включает 14 техник;
– «Defense Evasion» (этап «уклонения» от механизмов защиты) – включает 44 техник;
– «Credential Access» (получение доступа к учетным данным) – включает 17 техник;
– «Discovery» (этап детального и полного анализа) – включает 32 техники;
– «Lateral Movement» (этап расширения объема проникновения) – включает 9 техник;
– «Collection» (этап сбора) – включает 17 техник;
– «Command and Control» (этап захвата управления) – включает 18 техник;
– «Exfiltration» (этап извлечения ресурсов) – включает 9 техник;
– «Impact» (этап воздействия на ресурсы) – включает 14 техник [1, 12].
При этом фокус внимания MITRE направлен на поведение субъекта угрозы (злоумышленника).
База данных MITRE сформирована таким образом, что для отдельного этапа реализации угрозы злоумышленником (субъектом угрозы) ставится в соответствие возможные атакуемые ресурсы предприятия (объекты угрозы).
Методика создания модели нарушителя – неудовлетворенного работника предприятия на основе БД угроз безопасности информации, сформированной ФСТЭК РФ, и БД угроз, сформированной MITRE
На рис. 2 представлена схема создания модели нарушителя – неудовлетворенного работника предприятия на основе БД угроз, сформированной ФСТЭК РФ, и БД угроз, сформированной MITRE [1, 11, 12].
Рис. 2. Схема формирования модели нарушителя – неудовлетворенного работника предприятия на основе БД угроз, сформированной ФСТЭК РФ, и БД угроз, сформированной MITRE
Fig. 2. Scheme for forming a model of an intruder – a dissatisfied employee of an enterprise based on a threat database generated by the FSTEC of the Russian Federation and a threat database generated by MITRE
Согласно рис. 2, работа с БД угроз ФСТЭК РФ предполагает направление анализа от объекта угрозы (ресурсу предприятия) к субъекту угрозы (человеку), в то время как работа с БД угроз MITRE предполагает противоположное направление анализа – от субъекта к объекту угрозы.
Для модели нарушителя – неудовлетворенного работника предприятия разумно предположить следующие характеристики субъекта угрозы: уровень мотивации к мести; уровень моральной устойчивости; уровень квалификации; степень осведомленности об объекте угрозы (параметрах ресурсов предприятия); степень осведомленности о субъекте защиты (об используемых методах защиты).
В табл. 2 представлен пример соответствия характеристик субъекта угрозы, модели нарушителя и степени серьёзности потенциальной угрозы.
Степень серьезности потенциальной угрозы определяется экспертным методом по шкале от 1 до 10, при этом 1 – самая низкая серьёзность угрозы, 10 – самая высокая серьезность угрозы.
Таблица 2
Соответствие характеристик субъекта угрозы и модели нарушителя степени серьёзности потенциальной угрозы
Table 2
Correspondence between the characteristics of the threat subject and the intruder model to the degree of seriousness of the potential threat
|
|
Категория нарушителя |
||||
|
Нарушитель – сотрудник предприятия |
Нарушитель – сотрудник отдела информационной безопасности предприятия |
Нарушитель – сотрудник, ранее работавший на предприятии |
Нарушитель – сотрудник, ранее работавший в отделе информационной безопасности предприятия |
||
|
Характеристики нарушителя |
Высокий уровень мотивации к мести |
8 |
10 |
7 |
8 |
|
Низкий уровень мотивации к мести |
1 |
1 |
1 |
1 |
|
|
Низкий уровень моральной устойчивости |
7 |
10 |
6 |
10 |
|
|
Высокий уровень моральной устойчивости |
1 |
1 |
1 |
1 |
|
|
Высокий уровень квалификации |
9 |
10 |
8 |
9 |
|
|
Низкий уровень квалификации |
2 |
3 |
1 |
1 |
|
|
Высокая степень осведомленности об объекте угрозы |
9 |
10 |
8 |
9 |
|
|
Низкая степень осведомленности об объекте угрозы |
2 |
2 |
1 |
2 |
|
|
Высокая степень осведомленности о субъекте защиты |
9 |
10 |
8 |
10 |
|
|
Низкая степень осведомленности о субъекте защиты |
3 |
3 |
2 |
3 |
|
|
Интегральный показатель по категории нарушителя |
51 |
60 |
43 |
54 |
|
Таким образом, самая высокая серьезность потенциальной угрозы соответствует нарушителю:
– сотрудник отдела информационной безопасности с:
- высоким уровнем мотивации к мести;
- низким уровнем моральной устойчивости;
- высоким уровнем квалификации;
- высокой степенью осведомленности об объекте угрозы;
- высокой степенью осведомленности о субъекте защиты;
– сотрудник, ранее работавший в отделе информационной безопасности с:
- низким уровнем моральной устойчивости;
- высокой степенью осведомленности о субъекте защиты.
В свою очередь, наименьшую опасность представляют (низкую степень потенциальной угрозы) представляют сотрудники:
– с низким уровнем мотивации;
– высоким уровнем моральной устойчивости;
– низкой степенью осведомленности об объекте угрозы и о субъекте защиты.
Наивысший интегральный показатель по категории нарушителя – сотрудника предприятия у категории «сотрудник отдела информационной безопасности предприятия», наименьший – сотрудника предприятия у категории «сотрудник, ранее работавший на предприятии».
Заключение
Таким образом, проведенный анализ показал, что наиболее опасным является нарушитель категории «сотрудник отдела информационной безопасности предприятия» ввиду того, что именно он обладает высоким уровнем квалификации, высокой степенью осведомленности об объекте угрозы и о субъекте защиты.
При оценке общего уровня информационной безопасности предприятия необходимо формировать модель нарушителя-злоумышленника, включающую работника предприятия, в том числе ранее работавшего, в том числе в отделе информационной безопасности предприятия.
Для формирования модели нарушителя целесообразно совместное применение двух БД угроз, сформированных ФСТЭК РФ [11] и MITRE [12]. Таким образом производится анализ сценариев реализации угрозы сразу в двух направлениях: от объекта к субъекту угрозы (на основе БД угроз безопасности информации, сформированной ФСТЭК РФ), а также от субъекта к объекту (на основе БД угроз, сформированной MITRE). Данный подход обеспечит комплексность, высокую надежность и точность анализа информации и дальнейшего моделирования поведения злоумышленника.
Кроме того, представленная в статье методика формирования модели нарушителя позволит повысить уровень информационной безопасности ресурсов транспортного предприятия за счет своевременного выявления недобросовестных работников.
1. Кузнецова Н.М. Методология защиты от целевых кибератак повышенной сложности в автоматизированных системах промышленного предприятия (монография). – М.: «Янус-К», 2024. – 132 с.
2. Кузнецова Н.М., Карлова Т.В. , Бекмешов А.Ю. Решение задачи автоматизации процессов защиты стратегически важных ресурсов предприятия от комплексных кибер-атак на основе анализа тактик злоумышленников // Вестник Брянского государственно-го технического университета. – 2020. – № 7(92). – C. 48-53.
3. Kuznetsova N.M., Karlova T.V., Bekmeshov A.Yu. Method of Timely Prevention from Advanced Persistent Threats on the Enterprise Automated Systems // 2022 International Conference on Quality Management, Transport and Information Security, Information Technologies (IT&QM&IS)
4. Karlova T.V., Kuznetsova N.M., Sheptunov S.A., Bekmeshov A.Yu. Methods Dedicated to Fight Against Complex Information Security Theats on Automated Factories Systems // 2016 IEEE Conference on Quality Management, Transport and Information Security, Information Technologies (IT&MQ&IS) // Proceedings. – М.: Фонд «Качество». – 2016. – P. 23 27.
5. Кузнецова Н.М., Карлова Т.В., Бекмешов А.Ю. Построение модульной структуры автоматизированной системы комплексного обеспечения защиты стратегически важных ресурсов предприятия транспорта / Н.М. Кузнецова // Вестник Брянского государственного технического университета. 2021. – № 9 (106). – С. 36-42.
6. Кузнецова Н.М., Карлова Т.В. Основные принципы защиты автоматизированных систем крупных промышленных предприятий от комплексных кибер-атак // Вестник Брянского государственного технического университета. – 2017. – № 4 (57). – С. 84-89.
7. Kuznetsova N.M., Karlova T.V., Bekmeshov A.Yu. Protection the Data Banks in State Critical Information Infrastructure Organizations // Proceedings of the 2019 IEEE International Conference «Quality Management, Transport and Information Security, Information Technologies» (IT&QM&IS), Sochi, Russia, 23-27 September 2019. – P.155–157.
8. Кузнецова Н.М., Карлова Т.В., Бекмешов А.Ю. Анализ кибер-угроз, направленных на программно-аппаратное обеспечение робототехнических и автоматизированных систем масштаба предприятия, и способы их предотвращения // Качество. Инновации. Образование. – 2016. – № S2 (129). – С. 165-170.
9. Ефимов В.В. Средства и методы управления качеством: учебное пособие. – М.: КНОРУС, 2007. – 232 с.
10. Кузнецова Н.М., Карлова Т.В. Всеобщее управление качеством. Решение задачи повышения уровня информационной безопасности в рамках комплексного обеспечения качества на промышленном предприятии (Курс лекций, лабораторный практикум). Учебное пособие. – М.: Янус К, 2019. – 64 с.
11. БДУ – Угрозы – ФСТЭК России [Электронный ресурс] / режим доступа URL: https://bdu.fstec.ru (дата обращения: 12.02.2025)
12. MITRE ATT&CK [Электронный ресурс] / режим доступа URL: https://attackmitre.org (дата обращения: 12.02.2025)
