Автор: полиграфолог Марина Суркис, выпускница курсов полиграфологов ВАП 2024 года

Успешное украинское предприятие годами нарабатывает репутацию и формирует лояльную клиентскую базу. До тех пор, пока на рынке не появляется новая компания, подозрительно похожая на него: тот же профиль, те же методы, даже стилистика коммуникации узнаваема.

Хуже всего становится тогда, когда клиенты один за другим начинают переходить к «новичку», а внутренний аудит раскрывает шокирующую правду: «сердце» бизнеса — его база данных — было украдено.

Это не было дерзкое нападение хакеров или технический сбой. Это была «тихая утечка», организованная человеком, который каждый день желал вам доброго утра. База ушла из компании как минимум за четыре месяца до того, как это заметили. Сделал это инсайдер — тот, кто имел легальный доступ и знал систему изнутри. В руках бывшего коллеги такая информация превращается в оружие: он знает не только, что и кому продавать, но и где у компании слабые места.

Эта ситуация иллюстрирует главный парадокс современной безопасности: мы тратим миллионы на защиту от внешних угроз и одновременно часто недооцениваем тех, кто уже находится внутри системы. По данным Ponemon Institute, всего за два года количество инсайдерских инцидентов выросло на 44%, а средняя годовая стоимость их последствий для компаний уже измеряется десятками миллионов долларов — от 15,38 до 19,5 миллиона в зависимости от периода оценки.

При этом инсайдер — не всегда шпион в привычном понимании. Международные исследования описывают как минимум пять типов внутренних нарушителей:
• саботажник;
• похититель интеллектуальной собственности;
• мошенник;
• шпион;
• непреднамеренный инсайдер.

За каждым из них стоят разные мотивы, разный уровень осознанности и разный масштаб угрозы: один действует из мести, другой — ради выгоды, третий — в интересах сторонней силы, а четвертый создает риск из-за халатности или неосторожности. Именно эта разнородность и делает инсайдерскую угрозу одной из самых сложных для выявления и оценки.

Механику таких поступков еще в середине прошлого века описал Дональд Кресси в своей концепции «Треугольника мошенничества». Для того чтобы нарушение стало возможным, обычно должны совпасть три условия: доступ, стимул и внутреннее оправдание собственных действий. «Меня недооценили». «Я сам это создал». «Они мне должны». Международная модель MICE детализирует эти стимулы еще точнее: деньги, идеология, принуждение и Эго. Особенно опасным такой риск становится тогда, когда сотрудник уже внутренне дистанцировался от компании или находится на этапе увольнения. Именно в такие моменты накопленные обиды, корыстный интерес или чувство безнаказанности могут перейти в действие. Одним из самых известных примеров стал случай Энтони Левандовски, который перед уходом из Google загрузил более 14 000 файлов, что впоследствии легло в основу громкого дела о хищении коммерческой тайны.

Именно такие случаи и показывают пределы исключительно технического контроля. Системы кибербезопасности DLP и UBA фиксируют цифровую активность, доступы, аномалии, но не видят главного — человеческого намерения. Они не могут дать ответ на ключевой вопрос: речь идет о случайной ошибке, халатности или сознательном поступке? Именно там, где технология останавливается, особую значимость приобретает работа полиграфолога, который применяет методику выявления скрытой информации — МВСИ.

Речь идет не о «детекторе лжи» в его упрощенном, бытовом понимании. МВСИ работает не с абстрактным страхом, а со значимой информацией, которая хранится в памяти человека. Если лицо причастно к утечке, передаче данных или договоренностям, в его памяти сохраняются не абстрактные представления, а очень конкретные детали: названия файлов, характер информации, способ передачи, канал коммуникации, последовательность действий, условия договоренностей, обстоятельства сокрытия следов. Именно эти индивидуально значимые образы во время исследования приобретают силу стимулов.

В этом и заключается практическая ценность МВСИ: она позволяет не только выявить возможную причастность виновного, но и — что не менее важно — снять подозрение с тех, кто не имеет отношения к инциденту. В кризисной ситуации это защищает не только отдельных людей, но и доверие, справедливость и психологический микроклимат всего коллектива.

Место полиграфолога в системе корпоративной безопасности является стратегическим и четырехуровневым. Первый уровень — скрининг, который позволяет выявлять риски, способные при определенных условиях представлять угрозу для компании. Второй — плановые исследования, ведь именно они позволяют своевременно заметить изменения в поведении, мотивации или внутреннем состоянии сотрудника еще до того, как это перерастет в конкретные действия. Третий — скрининг при увольнении, когда особенно важно оценить потенциальные риски, связанные с лояльностью, намерениями и сохранением конфиденциальной информации. Четвертый уровень — служебное расследование, когда инцидент уже произошел, а цифровые следы оказались уничтоженными, искаженными или недостаточными для однозначного вывода.

В таких ситуациях полиграф становится одним из немногих инструментов, способных выйти за пределы сугубо технической картины события и помочь установить не только сам факт нарушения, но и причастность конкретного лица, его роль, мотивы и внутреннюю осведомленность о деталях инцидента. Там, где цифровые следы обрываются или оказываются недостаточными, начинается и усиливается роль полиграфолога.

В конечном итоге наиболее эффективной является та безопасность, которая срабатывает превентивно. В этой системе полиграф — не просто инструмент, а важное звено раннего выявления рисков, которое позволяет вовремя увидеть угрозу там, где еще можно предотвратить убытки, защитить репутацию, сохранить рыночное преимущество и уберечь будущее бизнеса.

Список использованных источников

1. Cybersecurity and Infrastructure Security Agency (CISA). Insider Threat Mitigation Guide. November 2020.
2. Ponemon Institute & Sullivan Privacy. Cost of Insider Risks Global Report. 2023.
3. SIFMA. Cyber Security Insider Threat Best Practices Guide (3rd Edition). July 2024.
4. Морозова Т.Р. Методика выявления скрытой информации в полиграфологических исследованиях : монография. Изд. 2-е, дополн. и перераб. / под науч. ред. О.М. Морозова. Киев : Алерта, 2006. 486 с.
5. NATO Cooperative Cyber Defence Centre of Excellence. Insider Threat Detection Study. (Kont et al.)
6. Federal Bureau of Investigation Behavioral Analysis Unit. Making Prevention a Reality: Identifying, Assessing, and Managing the Threat of Targeted Attacks. 2015.
7. U.S. Secret Service National Threat Assessment Center. Mass Attacks in Public Spaces – 2018. July 2019.
8. Verizon. 2023 Data Breach Investigations Report.
9. https://www.ebsco.com/research-starters/law/fraud-triangle
DLP (Data Loss Prevention) — системы предотвращения утечки данных. Отслеживают и блокируют передачу конфиденциальной информации наружу.
UBA (User Behavior Analytics) — системы анализа поведения пользователей. Фиксируют аномалии: необычное время входа, подозрительные запросы, крупные загрузки.