Peculiarities of subjective threats to information security of information systems in the work of internal affairs agencies of the Russian Federation

Kempf Viktor Aleksandrovich PhD in Technical Science Associate Professor at the Department of Information Science and Special Equipment of Barnaul Institute of Law of the Ministry of Internal Affairs 656031, Russia, 22 krai, g. Barnaul, per. Yadrintseva, 148, kv. 57 kempf_v_a@mail.ru

В настоящее время на одном из первых мест в Министерстве внутренних дел Российской Федерации стоят вопросы развития и внедрения автоматизированных информационных систем в деятельности органов внутренних дел, в том числе применения передовых подходов и технологий информатизации МВД России. Информатизация органов внутренних дел обусловлена спецификой деятельности по обеспечению общественной безопасности и правопорядка, основанной на формировании, хранении и использовании огромных массивов информации о гражданах, материальных объектах, правонарушениях и лицах их совершающих, о самих органах и подразделениях, их силах и средствах. Основной целью применения информационных технологий в деятельности органов внутренних дел является существенное повышение качества, изменение содержания и характера труда сотрудников. Благодаря автоматизации целого ряда информационных процессов, сотрудники органов внутренних дел освобождаются от рутинных, трудоемких операций, что, безусловно, увеличивает как производительность их деятельности, так и улучшает ее качество.

При этом в условиях продолжающегося масштабного развития ведомственной информатизации, осуществляемой во взаимодействии с планом развития информационно-телекоммуникационной инфраструктуры Российской Федерации, в МВД России существенно возрастают требования к подготовке кадров для подразделений органов внутренних дел. Одновременно улучшается оснащение этих подразделений современными образцами технических средств, эффективно эксплуатировать которые может лишь хорошо подготовленный сотрудник. Повышается необходимость формирования квалифицированного кадрового состава для четкого выполнения поставленных задач, а также сведения к минимуму количества ошибок и сбоев при внедрении и эксплуатации систем.

Особенностью профессиональной деятельности сотрудников органов внутренних дел Российской Федерации в информационных системах и телекоммуникационных сетях является то, что она строго регламентирована в соответствии возложенными на сотрудников функциональными задачами. Нарушения и отклонения от установленных правил и норм трактуются либо как умышленные действия, либо как непреднамеренные действия или случайные ошибки. Составляя два главных класса угроз безопасности, и те, и другие зачастую приводят к серьезным последствиям ^[1]. С учетом того, что используемые в органах внутренних дел информационные и телекоммуникационные системы и их элементы являются критичными для жизнедеятельности общества и государства, ущерб, наносимый этими нарушениями, может быть весьма существенен. Таким образом, существующая вероятность нарушений делает профессиональную деятельность сотрудников одним из уязвимых звеньев в ведомственных системах обработки и передачи информации, основанных на взаимодействии человека и машины. Кроме того, вопрос угрозы субъективного (человеческого) фактора особо остро встает в последние годы во время активного внедрения элементов подсистем информационной безопасности в системе Министерства внутренних дел Российской Федерации.

Субъективный или человеческий фактор является объектом изучения многих наук, что предопределило в конечном итоге появление междисциплинарных теорий, отражающих его сущностные характеристики ^[2]. При научном анализе такого явления, как человеческий фактор, возникает несколько существенных проблем. Во-первых, сам термин «человеческий фактор» многозначен по своему содержанию и его всестороннему изучению в том или ином виде посвящена практически вся социология. Во-вторых, подобное многообразие проявления «человеческого фактора» придает ему междисциплинарный характер и создает определенные трудности в выделении его в качестве отдельного направления для изучения. В-третьих, отсутствует (или является слишком абстрактной) общая теория человеческого фактора.

Большинство встречающихся в научной литературе интерпретаций понятия «человеческий фактор» сводятся к двум позициям: термин рассматривается как «процесс» или как «свойство» ^[4]. Позиция рассматривающая человеческий фактор как процесс (субъектную деятельность) определяет его как «специфическое обозначение функционирования человека в системе социальных, экономических, производственных, научно-технических, организационно-управленческих и др. отношений». При рассмотрении же человеческого фактора как свойства, он определяется как «совокупность психологических, физиологических, антропометрических и других характеристик человека, его возможностей и ограничений». Каждая из этих позиций, безусловно, имеет право на существование т.к. они в значительной степени дополняют друг друга, охватывая широкий спектр умышленных и ошибочных действий.

Классификация умышленных действий в целом весьма разнообразна и во многом зависит от профессионального статуса человека и занимаемой им должности. При этом не все из возможных действий распространяются на сотрудников органов внутренних дел в первую очередь вследствие их дисциплинированности.

Причины, способствующие ошибочным действиям человека, можно объединить в несколько групп ^[6]:

– недостаточность информационного обеспечения или его отсутствие. Особенно сильно эта проблема может проявляться в экстремальных ситуациях и в условиях дефицита времени на принятие решения во время несения службы;

– ошибки, вызванные воздействием внешних факторов (отвлечение внимания от возникшей проблемы);

– ошибки, вызванные физическим и психологическим состоянием и свойствами человека (внезапный стресс при общей монотонной работе, эмоциональная напряжённость, импульсивность или, наоборот, подавленная реакция на проблему);

– ограниченность ресурсов поддержки и исполнения принятого решения;

– отсутствие учёта человеческого фактора в списке возможных причин инцидента.

Сравнивая результаты аналитики одного из ведущих российских разработчиков систем защиты корпоративной информации InfoWatch за период времени с 2008 по 2018 год ^[3], можно утверждать, что рост угрозы со стороны человеческого фактора вырос практически втрое (с 30 % до 85 %).

К рассматриваемым в приведенных аналитических данных субъективным угрозам, в частности относятся:

• Кража информации — 64 %;

• Вредоносное программное обеспечение — 60 %;

• Покушение на систему безопасности — 48 %.

• Спам — 45 %;

• Халатность сотрудников — 43 %;

• Аппаратные и программные сбои — 21 %;

• Кража оборудования — 6 %;

• Финансовое мошенничество — 5 %.

Приведенные данные наглядно демонстрируют что, наиболее распространенными субъективными угрозами являются кража информации, вредоносное программное обеспечение и покушение на систему безопасности. Нельзя не отметить и высокий процент субъективных угроз, вызванных халатностью сотрудников.

В силу высокой проработанности вопросов организационного обеспечения деятельности сотрудников органов внутренних дел влияние данной проблемы на систему МВД России в целом минимально, однако проявления подобных ошибок, как показывает практика, имеют вовсе не нулевую вероятность, и этот факт побуждает оценить степень влияния и риск проявления подобных инцидентов. Одним из широко известных примеров подобного инцидента является проникновение 12 мая 2017 года в ведомственную сеть МВД вируса-шифровальщика WannaCry. По словам первого заместителя Министра внутренних дел Российской Федерации А.В. Горового из-за не соблюдения «правил пользования информационными системами» и «попытки присоединить служебный компьютер к Интернету» вирус атаковал ряд компьютеров ведомственной сети.

Анализируя общемировые показатели влияния на безопасность информации субъективного фактора по разным источникам можно выделить следующее соотношение ^[5]:

25 % – непосредственное влияние через действия пользователей, специалистов по обеспечению работ, внешних лиц, заинтересованных в защищаемой информации;

75 % – опосредованное влияние через созданную человеком автоматизированную информационную систему, используемую технологическую базу, а так же через внешние, созданные человеком условия функционирования информационной инфраструктуры.

Можно увидеть, что субъективный фактор в своем деструктивном проявлении создает реальную повседневную угрозу информационной безопасности. Учитывая изложенное, очевидно, что возникает потребность в проведении исследований, целью которых является изучение степени влияния субъективного фактора на функционирование защищаемого объекта, а также определение способов сведения до минимума рассматриваемой угрозы в системе Министерства внутренних дел Российской Федерации.

Проведенный анализ работы частных охранных структур и фирм, обеспечивающих внедрение и эксплуатацию информационных систем, задействованных для охраны объектов, позволил выделить основные субъективные риски. Размер выборки для изучения и анализа составил 800 человек сотрудников служб безопасности на 9 охраняемых объектах. Метод анализа апробирован. Основой метода являлись: опрос, тестирование, наблюдение.

Как основные выявлены следующие проблемы:

I. 10,4 % — неправильно контролируемый допуск (излишнее доверие, несоблюдение регламентов по отношению к проверяющим);

II. 15 % — неполное умение обращаться с оборудованием систем безопасности;

III. 4,6 % — полное неумение обращаться с оборудованием;

IV. 14 % — неполное знание регламентов и правил.

V. 1,3 % — полное незнание регламентов и политики безопасности.

В 54,7 % случаев за время анализа ошибок не выявлено.

Таким образом, в общей сложности 45,3 % процентов исследуемых случаев в разной степени представляли собой угрозу для системы безопасности: либо из-за технических ошибок по вине персонала, либо из-за действий злоумышленников происходил отказ в обслуживании систем безопасности как на короткое, так и на длительное время.

Анализ основных причин проявления человеческих ошибок и методов их устранения, проведенный на основе наблюдений и подробного изучения организации безопасности внутри исследуемых объектов позволил составить общие рекомендации, значительно снижающие вероятность реализации субъективных угроз:

1. Разработка методических рекомендаций, четких регламентов, подробных приказов, а также принятие зачетов и выполнение специально разработанных тестов;

2. Отведение большого количества часов на практику, закрепление навыков, отработка действий до автоматизма, разбор спорных ситуаций;

3. Регулярное тестирование систем безопасности: проведение специальных проверок, контрольное наблюдение;

4. Правильный анализ и качественная оценка рисков;

5. Исключение технической либо иной другой разведки по отношению к пунктам безопасности.

Помимо организационных моментов, имеющих повсеместную практику внедрения, снижение рисков информационной безопасности в деятельности сотрудников, вызванных субъективным фактором, в органах внутренних дел Российской Федерации представляется актуальным проведение следующих мероприятий:

• Разработка и внедрение технологий, предназначенных для дистанционного и непосредственного наблюдения состояния сотрудника путем периодического измерения его биометрических параметров;

• Электронная оценка и прогнозирование поведения сотрудников органов внутренних дел, а также иного персонала по обслуживанию объектов Министерства внутренних дел Российской Федерации: установка программного обеспечения и дополнительных видеокамер, фиксирующих пассивность и активность субъекта по ряду невербальных признаков.

Проведённый анализ трудовой и служебной деятельности, а также процессов эксплуатации и интегрирования информационных систем, предназначенных для обеспечения функционирования МВД России в рамках полномочий, позволяет установить, что степень влияния субъективного фактора сильно отличается от тенденций, наблюдаемых в коммерческих фирмах и иных негосударственных организациях. Несомненно, проявление человеческого фактора присутствует, но организационная политика служебных проверок и расследований позволяет выявлять инциденты, разбирать их коллегиально и предотвращать появление подобных ошибок.

В заключение важно отметить, что служебная дисциплина в рядах сотрудников органах внутренних дел, соблюдение сотрудником установленных законодательством Российской Федерации, присягой сотрудника органов внутренних дел Российской Федерации, контрактом, а также приказами и распоряжениями Министра внутренних дел Российской Федерации, приказами и распоряжениями прямых и непосредственных руководителей (начальников) соблюдение порядка и правил выполнения служебных обязанностей минимизирует риск возникновения угроз безопасности информации в информационных системах МВД. Установленный порядок взаимодействия позволяет избежать серьезного ущерба и угроз информационным системам от субъективного фактора, но вместе с тем, каждая система должна стремиться к тому, чтобы культура безопасности входила в ее повседневную привычку, что, несомненно, поднимет планку профессионализма и качества выполнения служебных обязанностей сотрудниками органов внутренних дел.