Сегодня ключевым аспектом для любого бизнеса становятся IT. И не важно, что вы в конечном итоге делаете — возите грузы, шьете одежду или раздаете кредиты — все это превратилось в автоматизированный бизнес-процесс, который без IT не работает. Даже компания с 50-ю сотрудниками уже не может функционировать без электронной почты, файлового хранилища, бухгалтерской программы, сотен электронных таблиц и хотя бы доморощенной CRM. IT- инфраструктура со своими системами и сервисами уже давно стала «кровеносной системой» любой современной компании.
Одновременно с этим изменился и характер потерь, которые несет бизнес. Довольно давно был пройден этап, когда основным источником потерь для бизнеса являлись «разбойники с большой дороги». До сих пор прецеденты случаются, но в целом государственные институты и страховые компании свели это, скорее, к форс-мажорным обстоятельствам. С тех пор как это произошло, основным источником потерь для бизнеса стали сотрудники. И если ранее охранник смотрел, чтобы хищения не произошли извне, то теперь он начал «заглядывать в сумки на выходе из проходной». Это, конечно, утрированный пример, но в общем-то системы безопасности прошли именно такой «поворот на 360°». Появились институты внутреннего контроля, сервисы видеонаблюдения стали огромной индустрией, а для «повышения качества обслуживания» стали записываться все разговоры. С точки зрения безопасности все подобные меры, конечно, дали определенный эффект, но бизнесу (как мы уже выясняли, чье существование невозможно без IT-технологий), с ростом возможных угроз, снова нужно трансформироваться.
Теперь все бизнес-процессы «живут» внутри IT-систем. И если еще 10-15 лет назад чтобы что-то украсть с работы, нужно было вынести предмет через проходную, то сейчас достаточно изменить реквизиты в 1С или отменить выставленный ранее счет. Можно убрать человека из цепочки согласования и тем самым продвинуть своего поставщика или получить нужное решение кредитного комитета, можно изменить в клиентской системе размер скидки. Двумя движениями мышки можно переслать конкуренту технологические карты, которые раньше переснимали на микропленку специально обученные промышленные шпионы. Можно откорректировать отчетность для получения премии. И самое главное: всегда можно сказать – «это какая-то ошибка в системе!» Самое парадоксальное в этой ситуации то, что чаще всего, действительно, речь может идти об ошибке. Злой умысел не всегда является причиной изменения данных. Иногда ситуация может быть связана не с ошибкой, а с человеческим умением «срезать углы». Так уж устроен человек, что всегда ищет способ сделать работу наиболее простым способом. Совсем не тем, который прописан в должностной инструкции. Это обычно и становится причиной «ошибок», которые не всегда заметны на одном участке процесса. Что же касается сознательных искажений, тут все иначе.
Дело в том, что мы все привыкли видеть под личиной преступника человека либо с откровенным девиантным поведением, либо человека, которого заставила пойти на плохой поступок крайняя нужда. Но последние 10-15 лет и здесь все стало не столь однозначно. С преступниками, как я уже упомянул, более или менее научились справляться, а для прочих нужда в деньгах полностью перешла в кредитные истории. К сожалению, меньше потерь от этого не стало. Почему? К сожалению, все просто. Во-первых, люди часто готовы нарушать существующие правила только потому, что могут. То самое инстинктивное «срезание углов», о котором я уже упоминал. Во-вторых, наносимый ущерб человек всегда исчисляет своей прибылью, а не чужой потерей, а значит увеличить скидку клиенту, чтобы получить дополнительную выручку в этом месяце и заработать 20 000 рублей премии, не выглядит как потеря 1 000 000 рублей по причине того, что эта скидка сделала маржинальность почти нулевой. А если к этому добавить возможность заявить – «это какая-то ошибка в системе!» … В общем, статистически основные суммы потерь теперь лежат именно в этой области. Кажется несколько надуманным?
Читать также: Памятка для «коммерса»: как бизнесмену выжить в тюрьме
Давайте посмотрим на ситуацию, когда при массовом выставлении счетов при закрытии периода специалист ошибся в реквизитах и несколько сотен ваших клиентов отправили платежи в другой банк. Пусть это тоже ваш банк, и ваш спецсчет. Никакого злого умысла в этом нет, но вряд ли это сделает ситуацию для вас более простой: теперь нужно договорится со всеми такими клиентами, чтобы они написали в банк об отзыве платежа, а потом, получив правильный счет, его оплатили вновь. Все это означает, что вы получите часть своей выручки не раньше, чем через месяц и, скорее всего, не доберете около 10% (безусловно, найдутся и те, которые скажут: «Мы ваш счет оплатили, остальное не наши проблемы» — и они будут правы).
Менеджер по продажам ошибся и, внося данные о скидке в систему, поменял местами всего две цифры — и клиент получает скидку не в 15%, а в 51% — это «съедает» всю маржу. Обычные ошибки, которые тут же повторяются умышленно. Деньги, но уже на свой счет, скидку в обмен на «откат».
Итак, изменились сама модель угроз. Это значит, что должна произойти и трансформация методов защиты. Индустрия безопасности меняется довольно давно. В настоящий момент на рынке есть системы контроля конфиденциальной информации (Infowatch, SolarDozor), которые способны разобрать трафик, идущий с рабочего места сотрудника, и провести его семантический анализ. Системы контроля прав доступа к информации (Varonis – позволяющий отследить, кто и каким образом обращается информационному объекту) и прочие. У всех подобных решений есть один существенный недостаток – они узко сегментированы и «смотрят» на данные в рамках одной из систем. А среднестатистическая компания живет как минимум в пяти, причем сам бизнес-процесс включает все системы сразу. Следовательно, контроль одной из систем — это примерно, как попытка понять, «как выглядит слон если ощупываете его одной рукой с закрытыми глазами». Излюбленный «прием» безопасности по выстраиванию периметра защиты также не работает, основные потери – внутри. Охранник скучает на проходной. Казалось бы, все выглядит довольно плохо для бизнеса, если бы не одно «но».
У бизнес-процесса, живущего в рамках IT-систем, постоянно происходит множество событий, которые описывают то или иное изменение системы. Каждый сотрудник, включая компьютер в начале дня или даже просто подключаясь к корпоративной почте с мобильного телефона, начинает генерировать подобные события. Фактически ничего не может произойти, не оставив в системе информационного события. И хотя каждое такое событие довольно незначительно, анализируя их совокупность, мы можем получить довольно серьезный инструмент, который поможет пролить свет на те самые «неточности» бизнес-процессов, в результате которых бизнес несет потери. Это нас подводит к размышлениям о том, что называется «big data» в области безопасности. Я выделяю три подхода к анализу «больших данных» в зависимости от их объемов.
Анализ данных объекта
Анализируя данные объекта, мы рассматриваем события, которые соответствуют жизненному циклу объекта (который в данном случае совпадает с продуктом или услугой компании). Каждый из них имеет определенное количество признаков, сопутствующих процессу формирования этого объекта. Например, доставка отправления из Москвы в Новосибирск – это всегда поступившая заявка с маршрутом Москва-Новосибирск, отметка курьера о том, что он забрал посылку у отправителя, отметка склада о приеме на сортировку, около пяти отметок о каждом этапе сортировки, отметка о принятии на складе Новосибирска, отметка получателя в накладной при получении. Это очень сокращенный список. Реальное количество событий может превышать тысячи. Но для работы с big data чем больше, тем лучше. Задача — взять несколько эталонных объектов (записать паттерн событий вокруг них), сделать среднестатистическую картинку, добавить уровень погрешности, получить эталон и каждый новый объект сравнивать с эталоном. Как только события, сопутствующие жизненному циклу объекта, начинают различаться с эталоном, система подает сигнал: что-то идет не так. Отправление обычно приходит из места сортировки в зону выдачи за 10 минут, значит, если его нет в течение 11 минут, система понимает: оно застряло именно на определенном участке, в определенное время, а, значит, мы можем оперативно вмешаться в этот процесс и исправить его. Звучит довольно просто, но требует хорошо выстроенной продуктовой линейки.
Анализ данных процесса
Анализ данных процесса фактически схож с анализом данных объекта – отличается от него только тем, что направлен на процесс, т.е. мы смотрим чуть более широко. Даже если в компании не описаны бизнес-процессы в рамках какой-либо нотации, все равно они существуют. И даже неформализованный процесс повторяется постоянно с большой долей совпадений. Пришла заявка – появился проект договора – он разослан пяти участникам для согласования – получены ответы – черновик сведен и отправлен для анализа экономической модели – получен ответ – договор отправлен клиенту – получен ответ – данные клиента занесены в CRM. И даже если процесс не формализован, то все равно выстраивается среднестатистическая картинка, как он фактически живет, а сравнивая модели, мы видим разницу. На складе одной из ретейл-сетей, на котором на длительном хранении находился довольно дорогостоящий товар, сотрудники «упростили» себе процесс инвентаризации, собрав штрих-кода с более чем 2000 единиц товара. Зачем ходить со сканером по складу, гораздо проще провести это сидя за столом. В результате инвентаризация «сходилась», а товара на месте уже не было, что обнаружили, когда нужно было делать отгрузку того, что по системе находилось на складе. Ситуация, которая легко видна, если сравнивать время между сканированием штрих-кода – 10-15 секунд на операцию, когда товар на полке, 1-2 секунды когда штрихкод отделен от коробки.
Анализ паттерна пользователя
Самые интересные результаты получаются при сравнении паттернов пользователя. Несмотря на то, что все мы любим считать свою деятельность уникальной, творческой и иногда абсолютно непредсказуемой, на самом деле мы почти всегда делаем все одинаково. События, которые генерирует каждый человек в течение работы, составляют его цифровой отпечаток. Уникальный как отпечаток пальца. У каждого из нас уникальная схема нажатий на клавиатуру, свой рисунок движения мыши. Мы в одинаковой последовательности открываем новостные сайты, определенным образом расставляем запятые, отвечаем на почту в своей манере. Да, безусловно, такой отпечаток постоянно меняется, раз-два в год его необходимо актуализировать в соответствии с новыми привычками и процессами, в которые вовлекается человек. Но, в целом, система вполне способна идентифицировать картину «нормальных» действий для человека и увидеть, когда он начинает отклонятся от привычной схемы. Например, когда инвентаризация товара в торговом зала заняла две минуты вместо обычных 40 минут. Система выдаст инцидент и, скорее всего, окажется, что стикеры с товаров были собраны в одном месте, и никто не ходил по залу, проверяя товар. Да, такой метод дает огромное количество ложно положительных срабатываний. Заболевший ребенок меняет привычную структуру дня, и человек ищет врачей и лекарства. То же самое делает приближающийся отпуск. Но все это тоже имеет общий характер и поддается шаблонизации. Машина, довольно долго анализирующая структуру поведения многих людей, спустя какое-то время все-таки построит достаточно большую базу естественных отклонений. И точно так система может показать, когда действия сотрудника выходят за рамки его привычной картины.
Звучит сложно? Но это работает. Даже не вдаваясь к сравнение особенностей поведенческой модели и ее отклонений, даже на базовых этапах - можно видеть общую логику и ее нарушения. Самый простой пример — выявление «мертвых душ» в рамках операционного процесса. Того самого, в котором, казалось бы, минимум IT-составляющей. Ситуация, к сожалению, характерна почти для каждого большого производственного предприятия. Как она обычно выглядит? Сотрудник оформился на работу, получил зарплатную карту, его руководитель принес ведомость, в которой указано количество отработанных смен, система посчитала стоимость смены и начислила зарплату. Периодически появляются приписанные смены или вообще фиктивные струдники. Но если смотреть с точки зрения совокупности систем и модели поведения, то каждый сотрудник еще и, например, проходит через турникеты на постах охраны. И не по одному разу в день. А, значит, обычная картина выглядит как количество смен, совмещенное с количеством входов-выходов + промежуточные прохождения (туалет\курилка\столовая). Ровно один дополнительный фактор - и уже обмануть данную систему становится на порядок сложнее, а отклонения видны в автоматическом режиме.
Разумеется, данный способ анализа не всегда может разделять инцидент безопасности, в рамках которого сотрудник наносит ущерб компании, и просто событие, которое выбилось из общей картины мира по ряду других причин. Но помните, в начале я уже упоминал, в чем состоит основная причина потерь в наше время? В отсутствии контроля, который позволяет «срезать углы», в создании бесконтрольной среды, в которой, человек полагает, некоторое отклонение пройдет незаметным. Не всегда это инцидент, но всегда предпосылка к нему. И единственный способ с этим бороться – это выстраивать контрольную среду действий, что мы и можем сделать на базе анализа событий информационных систем.