Вътрешна заплаха в информационната сигурност е събитие или човек от вътрешния контекст на организацията, чието пряко или непряко влияние може да доведе до материални или репутационни щети.

Помагат ли стандартите срещу вътрешните заплахи?

Има редица стандарти – ISO 27001 & NIST CSF, които имат за цел да защитят информацията, чрез холистичен подход адресиращ широк спектър от вътрешни и външни заплахи посредством контроли за сигурност, но те не трябва да се възприемат като даващи абсолютна сигурност, а само като помощни средства и инструменти. Всичко останало зависи от хората, които ги имплементират, използват и спазват.

 

Личността в контекста на информационната сигурност и вътрешните заплахи

В сферата на информационната сигурност се лансира едно добре известно понятие, че човекът е най-слабото звено в информационната сигурност. 95% от пробивите в сигурността са в резултат на човешка грешка. Хората допускат грешки. Това е факт и до голяма степен тези грешки са предсказуеми, следователно могат да бъдат контролирани като риск.

Условно можем да обособим два типа грешки допускани от хората – не умишлени и умишлени. Фокусът на настоящата статия е върху случаите, при които има осъзнат и умишлен акт от вътрешен човек, което води до пробив в информационната сигурност, което нарушава основните принципи в нея, а именно: конфиденциалността, цялостта и достъпността.

 

Личностни черти от тъмната триада и вътрешните заплахи за информационната сигурност

 

Тъмната триада e психологическа теория основана от Полхъс и Уилямс през 2002, които обединяват три особено негативни непатологични типа на човешката личност: нарцисизъм, макиавелизъм и психопатия. За разлика от клиничната психология, която ги разглежда като разстройства на личността, Полхъс и Уилямс ги разглеждат като субклинични черти, защото до голяма степен част от обществото ги има до степен, която не може да бъде приета като клинична, но дори и при стойности по-ниски от клиничните, но все пак високи са предиктор на контрапродуктивни поведения, голяма част от, които крият рискове за информационната сигурност.

Нарцисизъм

Чертата нарцисизъм се характеризира с грандиозност, гордост, егоизъм, егоцентризъм и липса на емпатия към другите. Такъв тип личности са особено атрактивни при подбор, защото те в 90% от случаите са топ пърформъри (високите постижения затвърждават техният личен статус). Те често се издигат без проблем в йерархията, а със съсредоточаването на власт и контрол при тях, тъмните черти, започват да излизат на преден план.

Нарцистичният лидер като вътрешна заплаха за информационната сигурност

Този тип лидери са склонни да формират на поклонничество като са склонни да назначават под себе си служители със спорни качества, които са податливи на контрол,  влияние и всеотдайна почит към нарцистичния лидер, което затвърждава неговата власт и егоцентризъм.

Нарцистичният лидер е склонен на реваншизъм към непокорните и инакомислещи, което може да прерасне и да доведе до по-голям вътрешен стрес и социално напрежение, което прави организацията по-уязвима от външни атаки посредством социално инженерство.

Нарцистичният лидер е склонен да поема по-голям риск, който да ги окичи с допълнително слава, но ако поетият риск доведе до загуби, те са склонни да прехвърлят отговорността на друг.

Рисков фактор при нарцисизма е неговата положителна корелация с екстраверсията, при която имаме висока социална включеност. В опита си да подчертават своя принос, статус и постижения – нарцистичните личности имат склонност да изпускат информация и да нарушават конфиденциалността като споделят повече от необходимото.

Хората с нарцистични черти имат изявено чувство за собственост и не биха се поколебали да заграбят клиентската база или сорс код на проект, към които имат личен принос при тяхно напускане на компанията.

Макиавелизъм като вътрешна заплаха за информационната сигурност

Тъмна черта именувана на Николо Макиавели въз основа на книгата му “Владетелят” – 1532г. Макиавелизмът се характеризира с манипулиране, социално инженерство и експлоатация на околните, липса на морал, липса на емоции и подчертан личен интерес. Техните действия и решения са добре пресметнати, взимайки предвид дългосрочни техни цели. При такъв тип личности, личният просперитет и изгода са преди тези на екипа и организацията. Склонни са на измами, включително да осветлят конфиденциална информация, с цел да компрометират човек или организация, или с цел лична печалба и изгода.

Личност с такива черти, би работила добре, когато целите на компанията подпомагат постигането на техните лични цели. Веднъж преставайки да имат лична изгода, те стават непосредствена заплаха за организацията, защото техните цели и ползи са над всичко, и са склонни на всичко, за да ги постигнат, включително контрапродуктивни поведения, водещи до загуби за организацията и/или опасност за информационната сигурност.

Макиавелистите са склонни умишлено да заобикалят контроли по сигурността и изградени процеси с цел да не бъдат хванати в крачка, а доброто боравене с риска ги превръща в трудна за идентифициране заплаха. Такъв тип личности не седят ниско в йерархията, а винаги се катерят целенасочено и достигат до най-високите позиции, като по пътя си са склонни да дирижират интриги и раздори компрометирайки техните опоненти.

Психопатията

Се характеризира с антисоциално поведение, импулсивност, егоизъм, безчувственост и търсене на силни усещания. Поради липсата на самоконтрол и емпатия, този тип личности са склонни на устойчиво девиатно поведение в работен контекст, а липсата на чувство за вина допринася тотална деградация на междуличностните отношения и трудова етика. В изследване на Babiak (2010) става ясно, че разпределението на служители с такава черта е сравнително рядко (между 0.2% – 1%). Арън Коен (2016) добавя, че те не само получават удовлетворение от тормоза към околните, но използват това поведение като тактика за постигане на собствените си цели.

Психопатите могат да тормозят като средство за отвличане на вниманието от конкретна цел, която не винаги е материална, може да свързана с удовлетворяване на техни базови психични потребности.

Влиянието на психопатията в информационната сигурност е посредством контрапродуктивното им поведение, което влияе върху нивото на стрес в организацията. Колкото по-високо е нивото на стрес, толкова вероятността от неволни грешки е по-голяма – респективно възможността да осветлим конфиденциални данни е висока.

Как можем да намалим риска и ефекта от вътрешните заплахи за информационната сигурност?

Като информираме и обучаваме служителите, включени в подбора и управлението на хора за поведения и черти, за които да внимават; да ги обучаваме как като ги идентифицират как да работят с тях, ако тези личности са част от организацията, така че да се избегнат рисковете за информационната сигурност. Такова е и нашето обучение Киберсигурност на работното място

Библиография:

1. Aaron Cohen, Are they among us? A conceptual framework of the relationship between the dark triad personality and counterproductive work behaviors (CWBs),Human Resource Management Review,Volume 26, Issue 1, 2016
2. Diller, S.J., Czibor, A., Szabó, Z.P. et al. The positive connection between dark triad traits and leadership levels in self- and other-ratings. Leadersh Educ Personal Interdiscip J 3, 117–131 (2021). https://doi.org/10.1365/s42681-021-00025-6
3. Machiavelli, Niccolò, 1469-1527. The Prince. Harmondsworth, Eng. ; New York, N.Y. :Penguin Books, 1981.
4. Paul Babiak at al (2010),  Corporate Psychopathy: Talking the Walk Hare, Ph.D.