Автор: поліграфолог Марина Суркіс, випускниця курсів поліграфологів ВАП, осінь 2024 року

Успішне українське підприємство роками напрацьовує репутацію та формує лояльну клієнтську базу. Аж поки на ринку не з’являється нова компанія, підозріло схожа на неї: той самий профіль, ті самі методи, навіть стилістика комунікації впізнавана.

Найгірше стає тоді, коли клієнти один за одним починають переходити до «новачка», а внутрішній аудит відкриває шокуючу правду: «серце» бізнесу — його база даних — було вкрадено.

Це не був зухвалий напад хакерів чи технічний збій. Це був «тихий витік», організований людиною, яка щодня бажала вам доброго ранку. База пішла з компанії щонайменше за чотири місяці до того, як це помітили. Зробив це інсайдер — той, хто мав легальний доступ і знав систему зсередини. У руках колишнього колеги така інформація перетворюється на зброю: він знає не лише, що і кому продавати, а й де у компанії слабкі місця.

Ця ситуація ілюструє головний парадокс сучасної безпеки: ми витрачаємо мільйони на захист від зовнішніх загроз і водночас часто недооцінюємо тих, хто вже перебуває всередині системи. За даними Ponemon Institute, лише за два роки кількість інсайдерських інцидентів зросла на 44%, а середня річна вартість їхніх наслідків для компаній уже вимірюється десятками мільйонів доларів — від 15,38 до 19,5 мільйона залежно від періоду оцінки.

Інсайдер при цьому — не завжди шпигун у звичному розумінні. Міжнародні дослідження описують щонайменше п’ять типів внутрішніх порушників:
– саботажник;
– викрадач інтелектуальної власності;
– шахрай;
– шпигун;
– ненавмисний інсайдер.

За кожним із них стоять різні мотиви, різний рівень усвідомлення і різний масштаб загрози: один діє з помсти, інший — заради вигоди, третій — в інтересах сторонньої сили, а четвертий створює ризик через недбалість або необережність. Саме ця різнорідність і робить інсайдерську загрозу однією з найскладніших для виявлення та оцінки.

Механіку таких вчинків ще в середині минулого століття описав Дональд Крессі у своїй концепції “Трикутника шахрайства”. Для того щоб порушення стало можливим, зазвичай мають зійтися три умови: доступ, стимул і внутрішнє виправдання власних дій. “Я недооцінений”. “Я сам це створив”. “Вони мені винні”. Міжнародна модель MICE деталізує ці стимули ще точніше: гроші, ідеологія, примус і Его. Особливо небезпечним такий ризик стає тоді, коли працівник уже внутрішньо дистанціювався від компанії або перебуває на етапі звільнення. Саме в такі моменти накопичені образи, корисливий інтерес чи відчуття безкарності можуть перейти у дію. Одним із найвідоміших прикладів став випадок Ентоні Левандовскі, який перед відходом із Google завантажив понад 14 000 файлів, що згодом стало основою гучної справи про викрадення комерційної таємниці.

Саме такі випадки і показують межу суто технічного контролю. Системи кібербезпеки DLP і UBA фіксують цифрову активність, доступи, аномалії, але не бачать головного — людського наміру. Вони не можуть дати відповідь на ключове питання: йдеться про випадкову помилку, недбалість чи свідомий вчинок? Саме там, де технологія зупиняється, особливої ваги набуває робота поліграфолога, який застосовує методику виявлення прихованої інформації — МВПІ

Йдеться не про «детектор брехні» у його спрощеному, побутовому розумінні. МВПІ працює не з абстрактним страхом, а зі значущою інформацією, яка зберігається в пам’яті людини. Якщо особа причетна до витоку, передачі даних чи домовленостей, у її пам’яті зберігаються не абстрактні уявлення, а дуже конкретні деталі: назви файлів, характер інформації, спосіб передачі, канал комунікації, послідовність дій, умови домовленостей, обставини приховування слідів. Саме ці індивідуально значущі образи під час дослідження набувають сили стимулів.

У цьому і полягає практична цінність МВПІ: вона дає змогу не лише виявити можливу причетність винного, а й — що не менш важливо — зняти підозру з тих, хто не має стосунку до інциденту. У кризовій ситуації це захищає не лише окремих людей, а й довіру, справедливість і психологічний мікроклімат усього колективу.

Місце поліграфолога в системі корпоративної безпеки є стратегічним і чотирирівневим. Перший рівень — скринінг на працевлаштування, який дає змогу виявляти ризики ще на початку, що за певних умов можуть становити загрозу для компанії. Другий — планові дослідження, адже саме вони дозволяють вчасно помітити зміни в поведінці, мотивації чи внутрішньому стані працівника ще до того, як це переросте в конкретні дії. Третій — скринінг при звільненні, коли особливо важливо оцінити потенційні ризики, пов’язані з лояльністю, намірами та збереженням конфіденційної інформації. Четвертий рівень — службове розслідування, коли інцидент уже стався, а цифрові сліди виявилися знищеними, спотвореними або недостатніми для однозначного висновку.

У таких ситуаціях поліграф стає одним із небагатьох інструментів, здатних вийти за межі суто технічної версії події та допомогти встановити не лише сам факт порушення, а й причетність конкретної особи, її роль, мотиви та внутрішню обізнаність із деталями інциденту. Там, де цифрові сліди обриваються або виявляються недостатніми, починається й посилюється роль поліграфолога.

Зрештою, найефективнішою є та безпека, що спрацьовує превентивно. У цій системі поліграф — не просто інструмент, а важлива ланка раннього виявлення ризиків, яка дає змогу вчасно побачити загрозу там, де ще можна запобігти збиткам, захистити репутацію, зберегти ринкову перевагу і вберегти майбутнє бізнесу.

Використані джерела

1. Cybersecurity and Infrastructure Security Agency (CISA). Insider Threat Mitigation Guide. November 2020.
2. Ponemon Institute & Sullivan Privacy. Cost of Insider Risks Global Report. 2023.
3. SIFMA. Cyber Security Insider Threat Best Practices Guide (3rd Edition). July 2024.
4. Морозова Т.Р. Методика виявлення прихованої інформації у поліграфологічних дослідженнях : монографія. Вид. 2-ге, доповн. і переробл. / за наук. ред. О.М. Морозова. Київ : Алерта, 2006. 486 с.
5. NATO Cooperative Cyber Defence Centre of Excellence. Insider Threat Detection Study. (Kont et al.)
6. Federal Bureau of Investigation Behavioral Analysis Unit. Making Prevention a Reality: Identifying, Assessing, and Managing the Threat of Targeted Attacks. 2015.
7. U.S. Secret Service National Threat Assessment Center. Mass Attacks in Public Spaces – 2018. July 2019.
8. Verizon. 2023 Data Breach Investigations Report.
9. https://www.ebsco.com/research-starters/law/fraud-triangle
DLP ( Data Loss Prevention) — системи запобігання витоку даних. Відстежують і блокують передачу конфіденційної інформації назовні.
UBA (User Behavior Analytics) — системи аналізу поведінки користувачів. Фіксують аномалії: незвичний час входу, підозрілі запити, великі завантаження.