На страх параноикам: куда нас привела разработка системы

admin

Administrator
Команда форума
26 Мар 2023
619
0
16
На страх параноикам: куда нас привела разработка системы аналитики для борьбы с промшпионажем.
У одного из наших заказчиков появился довольно интересный запрос, связанный с работой контрразведки на предприятии. Цель — чтобы более чем дорогую (в том числе для государства) информацию не выносили наружу. Идея реализации — сбор всех возможных открытых данных о сотрудниках и выявление среди них «казачков» по шаблонам поведения. Собственно, это и раньше делали безопасники вручную, но теперь предлагалось применить хороший дата-майнинг.

А дальше стало жутковато: мы поняли, как много можем узнать друг о друге, используя всего лишь открытые данные. Начиная с промышленного шпионажа и заканчивая личными отношениями на работе. Полезло столько всего, что нам чуть было не порезали публикацию этого поста. Да и порезали бы, если бы полезных «гражданских» применений не оказалось бы в разы больше.

Итак, представьте себе предприятие. Мы проводили эксперименты с его шиной безопасности, но вы можете представлять себе свой офис (и не сильно ошибётесь).

Вот что мы можем получить на входе от безопасников (и что совершенно точно будет доступно при решении более специфических задач контрразведки предприятия):

Данные на каждого сотрудника от кадрового отдела.
Данные почтового сервера — кто, когда и кому писал (текст письма и тему мы не видим).
Данные о звонках по корпоративным номерам (о чём эти звонки, мы не знаем, только время совершения, длительность и номер вызываемого абонента).
Данные всех устройств СКУД, включая RFID-турникеты, ключницы и системы распознавания номеров и лиц.
Данные о погоде, событиях в офисе (обучении) и прочих внешних событиях.
Данные проектных трекеров (кто, что и когда сделал).
Данные, которые даёт робот, ползающий по корпоративной соцсети, способный парсить профили и прочие открытые данные.
Данные об отпусках, командировках и т. п.

Плюс мы предположили, как эти данные можно обогатить при полном доступе к шине безопасности реальных режимных объектов, и начали делать выводы.

Для начала оказалось, что мы можем в реальном времени создавать базу коммуникации. Кто кому писал и звонил — это просто и доступно каждому. По СКУДу ещё можно очень быстро выяснить, кто ходил вместе курить, — они одновременно выходят за периметр и примерно одновременно заходят. Аналитика изменений времени совместных «покурок» позволяет предположить серьёзный разговор в курилке. И обогащает граф неформальных связей. Потом мы выяснили ещё одну волшебную вещь: сотрудники в столовой расплачиваются корпоративными пропусками, то есть действует та же СКУД-шина. Это может обогатить наши знания о графе неформальных отношений. Плюс ключницы. Плюс всё остальное.

Что нам даёт граф связей? Очень многое. Во-первых, мы взяли для обучения реальные данные «корпоративных шпионов», точнее, тех людей, кто уже уходил в другие компании, забирая с собой какие-то ценные и не очень данные. Оказалось, что прямо перед точкой эвакуации (увольнением) такие сотрудники не только начинают массово качать (без прочтения) все доступные документы (что очень легко выпаливается безопасниками), но и чуть раньше резко схлопывают граф общения. То есть как только кто-то показывает активность по снижению графа — это признак близкого ухода. Мы наложили картину на выборку уволившихся по собственному желанию сотрудников — и она оказалась довольно внятно совпадающей. Отлично, мы научились предсказывать уход незадолго до увольнения.

Инженер, например, явно не должен общаться с сотрудницей юридического отдела. Общаются? Скорее всего, у них какие-то неформальные отношения. Может, они просто близкие знакомые, а может, у нас случай начала проникновения, если объект режимный. С этой гипотезой мы пошли к психологам. Они злорадно потёрли руки и решили присоединиться к проекту.

Начиная с этого момента вечер перестал быть томным.

Граф связей даёт понять, кто каким делом занимается. По данным корпоративной соцсети, например, мы выяснили, что при заявленной одной должности в проекте сотрудник может часто отвечать на вопросы по другой теме. И быть неформальным экспертом, хотя официально кадровик этого знать не будет. Для «контрразведки» это значит, что когда сотрудник не соответствует своему досье, к нему стоит присмотреться. Для наших кадровиков в мирном применении это означает целый рой возможностей:

Видно, кто и в чём реально круто разбирается.
Граф связей позволяет выявить фактического лидера при номинальном управляющем (это часто зам или секретарь — кстати, секретарь потому, что отвечает за шефа). Это называется «поиском центра влияния» и тоже важно для выявления точек воздействия с помощью социальной инженерии.
Видно, какие проекты кому интересны. Значит, если человек заскучает, можно будет предложить ему проект, который ему точно понравится. Это очень важно для удержания сотрудников, потому что одна из причин увольнений — скучная работа.
Можно оптимизировать команду — для сложных проектов очень легко собрать «спецназ» из тех, кто уже сработался друг с другом, судя по графу связей. Причём это можно автоматизировать и ставить срабатывающихся людей вместе постоянно.
Эйчары запросили ещё: «покажите топ людей, кто не отвечает на письма».
По ряду подсказок психологов мы ещё выявили динамику пульсации графа связей и смогли ловить моменты неудовлетворённости сотрудников, то есть той стадии, когда он может уволиться, но ещё сам об этом не начинал думать. Сейчас это выявляется вручную при беседах с кадровиком раз в полгода на уровне «что тебе нравится, а что нет?» — и предлагается либо переобучение, либо смена проекта, либо рост. А тут можно автоматически. Мы видели, как кое у кого сотрудники раз в год ставят друг другу лайки, и затем увольняют тех, у кого мало лайков, а это значит, что вместе с бездельниками мочили и новаторов.
По принципиальному росту графа можно отслеживать готовность человека стать лидером. Это очень важно для крупных компаний при сборе команд. При наличии расширенных данных (которые уже для «режимных» объектов) можно отслеживать периоды «мотивации» и «уныния». У нормального сотрудника, как подсказали психологи, они чередуются. Таким образом, если кто-то «уныл» постоянно, его легко соблазнить подкупом — а это ещё одна точка повышенного внимания для «контрразведки».

Заодно мы запарсили данные с сайтов кадровых отделов компаний сферы — они настолько ушлые, что иногда звонят прямо с корпоративного номера с сайта на корпоративный номер сотрудника и предлагают сменить место работы.

Ну и заодно по СКУДу мы рассчитали оптимальное расписание для корпоративного транспорта. Хоть что-то полезное на основе только тестовой выборки.

Это были ещё цветочки

У нас есть партнёр, который идеально лёг в проект «контрразведки»: парни умеют снимать профиль печати (типовых промежутков между нажатиями на кнопки клавиатуры и точностью попадания). Если помните, была даже такая история, как идентификация человека по «почерку» в напечатанной фразе вторым фактором. По точности — как бионические методы. Так вот, как метод авторизации это в широкую практику не вошло (хотя Курсера та же иногда проверяет так на экзаменах, что вы — это вы), а вот наш партнёр научился определять эмоциональное состояние по изменению почерка. И усталость.

У них есть профили для «расстроен», «повышенная температура» и «устал». А это крайне важно для диспетчера — если он устал или болеет, может упасть, например, самолёт. Если вашего сотрудника шантажируют и он во фрустрации перед важным решением — тоже лучше знать.

Добавляя эти данные к вышеописанным, мы можем получить прогнозирование проблем с работой и реализацией проектов.

Про распознавание ключевых слов в речи я вообще молчу. Сколько данных можно добавить — просто сказка, но, опять же, только для режимных объектов.

Мы поспрашивали коллег. Безопасники у всех интересуются такими фишками, но денег им никто на это не даёт. Сейчас эра тотальных открытых данных, а не тотального контроля. С другой стороны, наш математический аппарат оказался очень легко применим к другим задачам майнинга. Например, неожиданно легко оказалось смотреть на тенденции рынка госзакупок. Смотрим, в каких конкурсах участвует сотрудник, и вычисляем другие, где бы он мог участвовать, чтобы понять, что мы могли пропустить. Или вот если в здании мы работаем как провайдер какого-то сервиса, то автоматически конкурсы на закупку такого сервиса для всех на объекте будут дешевле, ведь мы туда инфраструктуру уже провели. Ставим на особый контроль. И так далее.

Эйчары говорят, что им важно не увольнять «казачков», а понимать, кто мучается и не может донести до руководителя, что его, например, завтраками кормят. Очень важно понимать, кто недоволен, потому что потом их бьют за то, что сотрудник об этом в «Фейсбуке» написал, а не сказал руководителю. Или сказал, но тот не понял.

Резюме

Привет, параноики! Мы делаем многое, чтобы вы беспокоились не зря. С одной стороны, как-то страшно, но с другой — на своём опыте и на основе запросов от наших заказчиков мы поняли, что всё это не используется для шпионажа за сотрудниками, их перепиской или чем-то подобным. Бизнесу это интересно с точки зрения удержания ценных кадров.