Чтобы получить информацию через сотрудника компании, должен быть злоумышленник — компания/человек, для которого информация представляет большую ценность. Рассмотрим, возможные методы получение конфиденциальной информации через персонал. Разглашение информации через «человеческий фактор» чаще всего возможно: при контактах с сотрудниками компании, используя мотивированное и немотивированное разглашение информации.
Для начала перечислим методы, для которых обязательно наличие мотивации у сотрудника (потенциальный нарушитель). Будем считать, что сотрудник владеет важной информацией, которая требуется злоумышленнику.
Мотивация сотрудника компании (методы злоумышленника) может состоять:
- Шантаж;
- Подкуп;
- Месть;
- Возможность карьерного роста в другой компании;
- Гражданский долг;
- Взаимный обмен информацией.
Так же может быть, что сотрудник разглашает информацию, сам того, не желая – немотивированно. Это возможно в таких ситуациях:
- Алкогольное опьянение;
- Использование элементов нейро-лингвистического программирования (НЛП) и гипноза;
- Хвастовство;
- Болтливость;
- Схожесть интересов.
Также нужно учитывать эмоциональное состояние — если это какие-то краевые случаи, как депрессия, любовь, страдание и тд. Сотрудник может проболтаться в момент какого-то эмоционального стресса. Злоумышленник при этом рядом или в кругу сотрудника.
Это были методы получения злоумышленником информации через сотрудника. Данные методы имеет сходство в том, что злоумышленник должен быть знаком с сотрудником. Как правило, даже втереться в доверие.
Существует еще несколько способов по добыванию информации через персонал, а именно уволившихся сотрудников.
Злоумышленнику требуется найти человека, владевшего информацией и раннее работавшего в компании. После этого возможны способы мотивированного и немотивированного разглашение. Также нужно учитывать, что уволившейся сотрудник может просто сам рассказать информацию, так как его уже не держит компания.
Последний способ получения информации через персонал – внедрение человека в компанию. Здесь возможны два варианта событий:
- Завести «дружбу» с сотрудниками и тем самым получить информацию, с помощью способов, описанных выше;
- Внедриться и получить информацию самим. Тем самым мы получаем злоумышленник = сотрудник.
Возьмем методы, приемы, психологические особенности и сопоставим это в одну общую систему. Рассматривать будем со стороны противника, который хотел бы получить информацию.
Таблица 1. Методы и приемы получения информации
Методы |
Приемы |
Мишени воздействия |
Особенности |
Манипулирование в открытой, жесткой форме |
Шантаж
|
Сотрудник фирмы, имеющий весомые грехи за спиной, с помощью которых возможны манипуляции Либо можно создать ситуацию с сотрудником, чтобы потом его шантажировать – это импульсивные личности, с завышенной самооценкой. |
Если сотрудник имеет семью, то манипулировать этим приемом становится еще легче. Инфантильные личности не способны противостоять шантажу Импульсивную личность легче втянуть в какие-либо деяния, чтобы потом можно шантажировать. |
Подкуп |
Сотрудник, нуждающейся в материальной премии |
Сотрудника, имеющего семью подкупить будет проще, особенно большой суммой Будет работать, если у сотрудника в жизни острая ситуация, в которой требуется большая материальная помощь |
|
Предложение лучшей работы |
Сотрудник, который долгое время не двигается по карьерной лестнице |
Особенно люди с завышенной самооценкой и не подчиняющиеся каким-то общим нормам |
|
Скрытое манипулирование |
Дружба с потенциальным разгласителем информации |
Сотрудник, который легок на подъем, легко заводит новые знакомство, открытый |
Импульсивные люди довольно часто могут «разболтать». Думают после того, как сделают Здесь будут работать варианты с походами в бар, чтобы вывести на алкогольное опьянение. Также «прокачаться в теме», чтобы поддерживать разговор, где можно будет в ходе диалога вытащить информацию или же в виде спора. |
НЛП |
Сотрудник фирмы |
Противник должен уметь использовать НЛП |
|
Использование собственной силы |
Внедрение в компанию |
Коллектив, руководство |
Время затратное мероприятие. Так как нужно устроиться (пройти проверки в службе безопасности), проработать какое-то время, чтобы получить доступ к нужной информации. |
Из таблицы выше можно сделать выводы, что для получения информации через персонал должен быть проведен большой сбор информации по сотрудникам. Нужно выявить психологические особенности, найти слабые места. Также необходимо выявить желания и цели людей по жизни, найти поступки, которыми можно воздействовать на сотрудников. Противник должен быть общительным и умеющим налаживать контакт. Далее сравним методы и выявим недостатки и преимущества.
Таблица 2. Преимущества и недостатки методов получения информации
Методы |
Преимущества |
Недостатки |
Манипулирование в открытой, жесткой форме |
Относительно малое время реализации |
Зависимость от поступков сотрудника |
Если присутствуют мотиваторы, такие как семья у сотрудника, то без проблемная реализация |
Возможно долгий поиск предмета шантажа |
|
Игра на страхе и мечтах о лучшей жизни – одни из самых действенных способов |
Нейтральное отношение сотрудника к предмету шантажа/размеру подкупа |
|
Сотрудник знает о том, что информацию хотят добыть (о том, что он ее передал) |
||
Скрытое манипулирование |
Средняя по времени реализация |
Необходимость личного дружеского контакта. Налаживание связи |
Сотрудник не подозревает о том, что из него добывают информацию |
Необходимость владеть НЛП или коммуникативными качествами |
|
Нет необходимости искать семейного человека |
Сбор данных на сотрудников – поиск подходящей мишени |
|
Использование собственной силы |
Не используются другие люди, которые будут позже ответственны за утечку. |
Долгая реализация. |
Необходимость хорошо работать в компании для продвижения |
Из таблицы видно, что три метода отличаются друг от друга. Самое главное отличие – это разница во времени. Для каждого из методов необходимы предварительные работы по сбору информации, но сам метод работает быстрее всего, когда действия открытые. Чем скрытнее приемы, тем больше времени нужно на реализацию. Манипулирование в открытой форме имеет яркий недостаток в том, что сотрудник, у которого противник добывает информацию в курсе того, что информация утекла. Это может сказаться в дальнейшем, так как тот же сотрудник может предупредить руководство. Особенно в случае, когда использовался подкуп. У манипулирования в закрытой форме главный недостаток – это необходимость налаживания контакта. Хоть сотрудник и не в курсе, что информация добывается через него, но наладить близкий контакт для откровенных разговоров необходимо, иначе не получится добыть желаемое.
Внедрение имеет яркий плюс, который выражается в том, что не используются другие люди, которые могут пострадать. Только противник будет ответственен за утечку информации. Но время затраченное на данное мероприятие слишком большое. Трудоустройство через кадры и службу безопасности, подчищение своих связей для прохода этой безопасности. Работа в новом месте на протяжении долгого времени.
Все три метода различны между собой, но имеют одно сходство, которое уже было озвучено выше – это долгая подготовка. В любом из трех методов нужен первичный сбор данных. Для манипулирования в открытом виде – это поиск предмета шантажа или сотрудника, которому нужны деньги/работа в другом месте. Это долгий и тщательный поиск. Для второго метода нужно досье на сотрудников, а именно их личностные качества, чтобы найти самую уязвимую мишень. Для внедрения нужно подготовить свое резюме и все связи, чтобы при проверке у служб не было вопросов.
Так, когда какой метод лучше всего применять? Для начала нужно определиться со временем. Какой срок на получение информации. Понятно, что если срок маленький, то придется использовать открытые манипуляции. Если времени много, то можно заняться внедрением. Это основной фактор, который учитывается при выборе метода.
После определения метода выбирается прием, который зависит от сбора первичной информации. Исходя из того, что будет найдено, такой прием и будет использоваться. Мастерство противника, особенно в части скрытых манипуляций, НЛП и коммуникативные качества играют ключевую роль в реализации мероприятий. Получается, что на выбор метода влияют два фактора – время, которое есть на получение информации и качество сбора первичных данных. Исходя из этого строится весь дальнейший план действий.
С точки зрения безопасности в подходе к трудовому взаимодействию присутствует одна маленькая и не всегда заметная деталь — каждый кандидат на вакансию, каждый работник предприятия должен ежеминутно рассматриваться, в том числе и как источник риска, источник потенциальной угрозы.
Утечка или утрата информации влечет за собой материальный ущерб. Проблему утечки информации нельзя решить каким-либо одним способом. Необходимо создание организационно-технической системы, позволяющей перекрыть каналы утечки конфиденциальной информации.
Список литературы:
- Годырева А.В. «Возможные каналы утечки информации на предприятие». https://ntv.ifmo.ru/ru/article/1551/article_1551.htm [Электронный ресурс]. URL https://ntv.ifmo.ru/ru/. (Дата обращения: 08.09.2019).
- Панкратьев В.В. «Кадровая безопасность в компании». https://mbschool.ru/articles/51761 [Электронный ресурс]. URL https://mbschool.ru/. (Дата обращения: 15.09.2019).