На страх параноикам: куда нас привела разработка системы аналитики для борьбы с промшпионажем



    У одного из наших заказчиков появился довольно интересный запрос, связанный с работой контрразведки на предприятии. Цель — чтобы более чем дорогую (в том числе для государства) информацию не выносили наружу. Идея реализации — сбор всех возможных открытых данных о сотрудниках и выявление среди них «казачков» по шаблонам поведения. Собственно, это и раньше делали безопасники вручную, но теперь предлагалось применить хороший дата-майнинг.

    А дальше стало жутковато: мы поняли, как много можем узнать друг о друге, используя всего лишь открытые данные. Начиная с промышленного шпионажа и заканчивая личными отношениями на работе. Полезло столько всего, что нам чуть было не порезали публикацию этого поста. Да и порезали бы, если бы полезных «гражданских» применений не оказалось бы в разы больше.

    Итак, представьте себе предприятие. Мы проводили эксперименты с его шиной безопасности, но вы можете представлять себе свой офис (и не сильно ошибётесь).

    Вот что мы можем получить на входе от безопасников (и что совершенно точно будет доступно при решении более специфических задач контрразведки предприятия):

    1. Данные на каждого сотрудника от кадрового отдела.
    2. Данные почтового сервера — кто, когда и кому писал (текст письма и тему мы не видим).
    3. Данные о звонках по корпоративным номерам (о чём эти звонки, мы не знаем, только время совершения, длительность и номер вызываемого абонента).
    4. Данные всех устройств СКУД, включая RFID-турникеты, ключницы и системы распознавания номеров и лиц.
    5. Данные о погоде, событиях в офисе (обучении) и прочих внешних событиях.
    6. Данные проектных трекеров (кто, что и когда сделал).
    7. Данные, которые даёт робот, ползающий по корпоративной соцсети, способный парсить профили и прочие открытые данные.
    8. Данные об отпусках, командировках и т. п.

    Плюс мы предположили, как эти данные можно обогатить при полном доступе к шине безопасности реальных режимных объектов, и начали делать выводы.

    Для начала оказалось, что мы можем в реальном времени создавать базу коммуникации. Кто кому писал и звонил — это просто и доступно каждому. По СКУДу ещё можно очень быстро выяснить, кто ходил вместе курить, — они одновременно выходят за периметр и примерно одновременно заходят. Аналитика изменений времени совместных «покурок» позволяет предположить серьёзный разговор в курилке. И обогащает граф неформальных связей. Потом мы выяснили ещё одну волшебную вещь: сотрудники в столовой расплачиваются корпоративными пропусками, то есть действует та же СКУД-шина. Это может обогатить наши знания о графе неформальных отношений. Плюс ключницы. Плюс всё остальное.

    Что нам даёт граф связей? Очень многое. Во-первых, мы взяли для обучения реальные данные «корпоративных шпионов», точнее, тех людей, кто уже уходил в другие компании, забирая с собой какие-то ценные и не очень данные. Оказалось, что прямо перед точкой эвакуации (увольнением) такие сотрудники не только начинают массово качать (без прочтения) все доступные документы (что очень легко выпаливается безопасниками), но и чуть раньше резко схлопывают граф общения. То есть как только кто-то показывает активность по снижению графа — это признак близкого ухода. Мы наложили картину на выборку уволившихся по собственному желанию сотрудников — и она оказалась довольно внятно совпадающей. Отлично, мы научились предсказывать уход незадолго до увольнения.

    Инженер, например, явно не должен общаться с сотрудницей юридического отдела. Общаются? Скорее всего, у них какие-то неформальные отношения. Может, они просто близкие знакомые, а может, у нас случай начала проникновения, если объект режимный. С этой гипотезой мы пошли к психологам. Они злорадно потёрли руки и решили присоединиться к проекту.

    Начиная с этого момента вечер перестал быть томным.

    Граф связей даёт понять, кто каким делом занимается. По данным корпоративной соцсети, например, мы выяснили, что при заявленной одной должности в проекте сотрудник может часто отвечать на вопросы по другой теме. И быть неформальным экспертом, хотя официально кадровик этого знать не будет. Для «контрразведки» это значит, что когда сотрудник не соответствует своему досье, к нему стоит присмотреться. Для наших кадровиков в мирном применении это означает целый рой возможностей:

    1. Видно, кто и в чём реально круто разбирается.
    2. Граф связей позволяет выявить фактического лидера при номинальном управляющем (это часто зам или секретарь — кстати, секретарь потому, что отвечает за шефа). Это называется «поиском центра влияния» и тоже важно для выявления точек воздействия с помощью социальной инженерии.
    3. Видно, какие проекты кому интересны. Значит, если человек заскучает, можно будет предложить ему проект, который ему точно понравится. Это очень важно для удержания сотрудников, потому что одна из причин увольнений — скучная работа.
    4. Можно оптимизировать команду — для сложных проектов очень легко собрать «спецназ» из тех, кто уже сработался друг с другом, судя по графу связей. Причём это можно автоматизировать и ставить срабатывающихся людей вместе постоянно.
    5. Эйчары запросили ещё: «покажите топ людей, кто не отвечает на письма».
    6. По ряду подсказок психологов мы ещё выявили динамику пульсации графа связей и смогли ловить моменты неудовлетворённости сотрудников, то есть той стадии, когда он может уволиться, но ещё сам об этом не начинал думать. Сейчас это выявляется вручную при беседах с кадровиком раз в полгода на уровне «что тебе нравится, а что нет?» — и предлагается либо переобучение, либо смена проекта, либо рост. А тут можно автоматически. Мы видели, как кое у кого сотрудники раз в год ставят друг другу лайки, и затем увольняют тех, у кого мало лайков, а это значит, что вместе с бездельниками мочили и новаторов.
    7. По принципиальному росту графа можно отслеживать готовность человека стать лидером. Это очень важно для крупных компаний при сборе команд. При наличии расширенных данных (которые уже для «режимных» объектов) можно отслеживать периоды «мотивации» и «уныния». У нормального сотрудника, как подсказали психологи, они чередуются. Таким образом, если кто-то «уныл» постоянно, его легко соблазнить подкупом — а это ещё одна точка повышенного внимания для «контрразведки».

    Заодно мы запарсили данные с сайтов кадровых отделов компаний сферы — они настолько ушлые, что иногда звонят прямо с корпоративного номера с сайта на корпоративный номер сотрудника и предлагают сменить место работы.

    Ну и заодно по СКУДу мы рассчитали оптимальное расписание для корпоративного транспорта. Хоть что-то полезное на основе только тестовой выборки.

    Это были ещё цветочки


    У нас есть партнёр, который идеально лёг в проект «контрразведки»: парни умеют снимать профиль печати (типовых промежутков между нажатиями на кнопки клавиатуры и точностью попадания). Если помните, была даже такая история, как идентификация человека по «почерку» в напечатанной фразе вторым фактором. По точности — как бионические методы. Так вот, как метод авторизации это в широкую практику не вошло (хотя Курсера та же иногда проверяет так на экзаменах, что вы — это вы), а вот наш партнёр научился определять эмоциональное состояние по изменению почерка. И усталость.

    У них есть профили для «расстроен», «повышенная температура» и «устал». А это крайне важно для диспетчера — если он устал или болеет, может упасть, например, самолёт. Если вашего сотрудника шантажируют и он во фрустрации перед важным решением — тоже лучше знать.

    Добавляя эти данные к вышеописанным, мы можем получить прогнозирование проблем с работой и реализацией проектов.

    Про распознавание ключевых слов в речи я вообще молчу. Сколько данных можно добавить — просто сказка, но, опять же, только для режимных объектов.

    Мы поспрашивали коллег. Безопасники у всех интересуются такими фишками, но денег им никто на это не даёт. Сейчас эра тотальных открытых данных, а не тотального контроля. С другой стороны, наш математический аппарат оказался очень легко применим к другим задачам майнинга. Например, неожиданно легко оказалось смотреть на тенденции рынка госзакупок. Смотрим, в каких конкурсах участвует сотрудник, и вычисляем другие, где бы он мог участвовать, чтобы понять, что мы могли пропустить. Или вот если в здании мы работаем как провайдер какого-то сервиса, то автоматически конкурсы на закупку такого сервиса для всех на объекте будут дешевле, ведь мы туда инфраструктуру уже провели. Ставим на особый контроль. И так далее.

    Эйчары говорят, что им важно не увольнять «казачков», а понимать, кто мучается и не может донести до руководителя, что его, например, завтраками кормят. Очень важно понимать, кто недоволен, потому что потом их бьют за то, что сотрудник об этом в «Фейсбуке» написал, а не сказал руководителю. Или сказал, но тот не понял.

    Резюме


    Привет, параноики! Мы делаем многое, чтобы вы беспокоились не зря. С одной стороны, как-то страшно, но с другой — на своём опыте и на основе запросов от наших заказчиков мы поняли, что всё это не используется для шпионажа за сотрудниками, их перепиской или чем-то подобным. Бизнесу это интересно с точки зрения удержания ценных кадров.

    Ссылки


    КРОК
    508.44
    IT-компания
    Share post

    Comments 55

      +8
      «смогли ловить моменты неудовлетворённости сотрудников, то есть той стадии, когда он может уволиться, но ещё сам об этом не начинал думать»
      жуть какая)
        +1
        Сходите на фильм «Сфера» (2017) Джеймса Понсольдта — вот там действительно жуть!)
          0
          автоматом начали поднимать зп в этот момент? или превентивно «удалять»?
          +1
          Шерлокиана в стиле high-tech.
            +2

            Сразу возникает вопрос, а внедрили разработчики этой систему её у себя?
            Чтобы система предупреждала HR и начальство о том когда уже они сами могут
            подумать поменять место работы?

              0
              Конечно, но далеко не все элементы. А вообще один из первых инструментов этой системы наши сотрудники сами запилили в нерабочее время для фана, то была карта коммуникации, которая отображала в виде карты звездного неба связи сотрудников между собой :)
                0
                И зачем нужна такая карта, кроме фана?
                  +11
                  Искать девушку, которая ещё ни с кем из инженеров не встречается. А если серьёзно — ниже ответил
              –3
              Чувствуется асимметрия в возможностях предприятия и сотрудника. Если предприятие не делает ничего плохого, то ему нечего скрывать.
                +1
                конфиденциальность != скрывать что-то плохое
                  +2
                  По вашей логике, если у нас есть конструкторское бюро, которое на 100% соблюдает текущие ФЗ, то любые чертежи и прочие документы можно выносить и раздавать всем желающим?)
                    +1
                    А теперь попробуйте туже логику применить против сотрудника, который на 100% соблюдает текущий ФЗ.
                    0

                    Вы уже убрали дверь в туалет у себя в квартире?

                      +1
                      Вы потеряли способность понимать сарказм после травмы или добровольно удалили?
                    0

                    Не увидел ничего страшного. Все эти метаданные и так всегда были у фирмы, просто использовались неэффективно.
                    А те, кто занимается промшпионажем тем более это всё знают, и знают, как обойти.

                      +8
                      Столько воды, а где реальная польза от того, что вы сделали? Я чет не вкурил совсем.
                      Единственно интересно звучащий кейс — узнать, что человек скоро захочет уйти. И то, очевидно что показатель «магический» и будет врать в приличном числе случаев.
                        0
                        Автопостороение хороших проектных команд. Выявление тех, кто реально тянет проект, а не номинально руководит. По промшпионажу — ну ясно же, что мы под NDA, но все предпосылки выше есть.
                          +1
                          То, что люди хорошо общаются или курят вместе, далеко не показатель того, что они сработаются над проектом.
                          Как и их заинтересованность в теме проекта не показатель того, что они могут что-то сделать.

                          Тянет проект по лайкам в «соцсети», или я что-то упустил? Я бы не хотел работать там, где от лайков зависит моя ценность.

                          Промшпионаж, когда открыт доступ к документам, и вы замечаете их «сливание» — отличный показатель. Не получилось построить нормальную матрицу доступа даже к данным, зато мы знаем, что сотрудник «может быть» скоро уйдет от нас.
                            0
                            1. «То, что люди хорошо общаются или курят вместе, далеко не показатель того, что они сработаются над проектом.
                            Как и их заинтересованность в теме проекта не показатель того, что они могут что-то сделать.»
                            Отвечаю: Да, не показатель. Но один из факторов, которым пренебрегать не стоит

                            2. «Тянет проект по лайкам в «соцсети», или я что-то упустил? Я бы не хотел работать там, где от лайков зависит моя ценность.»
                            Отвечаю: Алгоритм строится не на лайках и автостроении, а пляшет от имеющейся базы проектов и отзывов на имеющиеся проектные команды. Кроме того, мы видим статистику активности по проектам. Все это вместе (включая курилку) может дать очень репрезентативную картинку
                            +2
                            То есть, система работает только для курящих?)
                            0
                            а главное что в подавляющем большинстве контор его даже останавливать не будут если это рядовой спец
                            и плевать что он работает много лет в курсе всего итд итп но зряплату ему(хотя бы) не поднимут и новый комп с моником тоже не побегут покупать
                            а вот новенького возьмут и на больший оклад (хотя он вообще еще не в курсе что и как делать) и сразу все новенькое предоставят

                            да спеца элитника, да еще завязанного на секреты конечно будут беречь и удерживать, но сливают инфу обычно именно серые мышки недовольные своим положением, окладом и т п
                            +2
                            Теперь ~3к человек точно знают куда не стоит идти работать если не хочешь стать подопытным экземпляром :)
                              0
                              Ну я бы пошел) только не возьмут.
                                +1
                                Уже попадались за промшпионаж?
                                  0
                                  Жить было бы намного проще, будь это единственным критерием отбора. Нет, я такими вещами не промышляю.
                              +3

                              Почему-то из тесного общения делается вывод о хорошей совместимости сотрудников. А вдруг они друг друга ненавидят и много общаются только потому, что работа требует, или один другому замечаниями "палки в колёса" постоянно ставит?

                                0
                                Если у нас будет паттерн поведения сотрудников и признак, что они ненавидят друг друга, научим систему это понимать. Тут же не система даёт указания, как правильно формировать команду, а менеджмент может спросить совета у системы и доубучить ее, если она где-то ошибается
                                  +1
                                  Вы часто обедаете/курите с теми, кого ненавидите?
                                    0

                                    Практически каждый день вижу в столовой тех, с кем взаимодействую раз в 1-2 года. Для системы это может выглядеть как тесное неформальное общение. На деле о качествах этих людей я ничего сказать не могу, должностные обязанности не пересекаются, и было бы странно считать, что из нас получится отличная команда.

                                      +1
                                      Самое интересное будет, когда на стол высокому руководителю ляжет вот такая выборка (кто с кем тесно общается). И когда этот руководитель невзначай спросит у сотрудника о такой дружбе, может получиться конфуз: сотрудник и знать не знает, что он «тесно с кем то общается», а руководитель подумает, то тот его обманывает. Ведь «система не врет».
                                        0
                                        Потом мы выяснили ещё одну волшебную вещь: сотрудники в столовой расплачиваются корпоративными пропусками, то есть действует та же СКУД-шина. Это может обогатить наши знания о графе неформальных отношений. Плюс ключницы. Плюс всё остальное.

                                        Вижу в столовой, и оплачиваю каждый день в одной кассе друг за другом несколько разные сценарии.
                                    –1
                                    Инженер, например, явно не должен общаться с сотрудницей юридического отдела. Общаются? Скорее всего, у них какие-то неформальные отношения. Может, они просто близкие знакомые, а может, у нас случай начала проникновения, если объект режимный. С этой гипотезой мы пошли к психологам. Они злорадно потёрли руки и решили присоединиться к проекту.

                                    Все гораздо проще, ни к чему лампочку через полстраны зажигать, когда до нее рукой подать.

                                      0
                                      по 2-му пункту — «Граф связей позволяет выявить фактического лидера при номинальном управляющем»
                                      Хм… так вот почему меня выпилили на предыдущем месте работы. Просто мой рукой водитель увидел, что у меня граф связей обширней, чем у него, и что при этом мои контрагенты реально готовы мне помочь. После этого до этого человечка наконец-то дошло, что я работаю сам по себе, без его руководительства, и ни в грош его не ставлю и как человека, и как руководителя.
                                      На практике же — я ни разу не лидер, но насчёт широкой сети связей и знакомств в организации, где ты работаешь — куда же без этого службе личной разведки имени меня самого? :-)
                                      по 1,3,4,5,6,7 — ой, вот только не надо сказки рассказывать, что хоть кому-то из высшего руководства это всё интересно…

                                        +1
                                        Ещё было бы интересно посмотреть, как граф связей меняется в зависимости от стажа работы в компании/отрасли, и учитывается ли стаж при сравнении таких графов у разных людей. Исходная (возможно, глупая) гипотеза в том, что человек, который работает даже на условно некритичной должности вот уже почти 10 лет, перебывал на всех корпоративах по много раз, хорошо знает, у кого дети в детский сад ходят, а у кого — уже в институт поступают, а курить может ходить вообще с Васей из совершенно несмежного отдела, потому что они с ним случайно в один спортзал ходят после работы, потому что живут рядом. У относительно нового сотрудника (даже с условными задатками лидера) такой граф связей может быть существенно менее «наполненным» в первое время его работы…
                                        З.Ы. Хотя это все лишь мысли вслух — возможно, я вообще ни разу не прав.
                                        +3
                                        Идеи интересные, но рискованные — в первую очередь система «заподозрит» неординарных сотрудников.
                                          +4
                                          Мне показалось что все тоже самое можно узнать просто спросив у секретарши. Она еще и про самих безопасников подробности расскажет:)
                                            0

                                            Лучший вариант, когда секретарша вициков присылает файл презентации о развитии компании (планах продажи, которые не афишируются) и просит его перекодировать, так как ее офис его не ест..

                                            0
                                            Впечатляет! При таком маленьком количестве входных данных удалось нагрести такую массу аналитики. А что будет, когда добавится физиогномика с видеокамер, автоматический мониторинг соцсетей и анализ баз данных, украденных у госструктур и банков?
                                              0
                                              Интересно, если человек не курит и неприемлет корпоративные соцсети как вид, что вы собираетесь анализировать? Походы в туалет? Кому он пишет? Мобильные телефоны с интернетом и приватными мессенджерами вы как отследите?
                                                0
                                                Как-то же он с коллегами коммуницирует. Если он это делает не по корпоративным каналам, то это уже угроза безопасности.

                                                Мобильные телефоны с интернетом и приватными мессенджерами вы как отследите?
                                                там, где это критично, там нет мобильных телефонов с приватным интернетом и мессенджерами. ну и контролируемые соты тоже никто не отменял.
                                                  0
                                                  А вот я, например, 95% сообщений получаю только с адреса корпоративной системы управления задачами, они всегда приходят с одного ящика. А отвечаю вообще через веб-интерфейс данной системы. Внутреннего телефонного номера у меня нет вообще. Курить не хожу, обедаю один.
                                                  Как бы вы построили мой граф?
                                                    +1
                                                    Я, если что, к авторам статьи отношения не имею.
                                                    Но есть подозрение, что если ваш граф разительно отличается от графов других сотрудников, то эту ситуацию нужно разбирать вручную.

                                                    Граф нужен, что бы детектить девиантное поведение. Причем как отклонения от коллектива, так и от самого себя, а не для того, чтоб сравнивать его с каким-то конкретным, сторонним паттерном.
                                                  0
                                                  Подобные системы называются DLP. В «крутых» компаниях уже очень давно корпоративное ПО на сотовых телефонах сотрудников стоит. А где соблюдается режимность так и не пронести вообще ни какую электронику…
                                                  +1
                                                  Ударим датамайнингом по здравому смыслу!
                                                  Люди курят вместе просто потому, что интервал между сигаретами у всех составляет примерно равное время и есть точки синхронизации — приход на работу и обед. Кто-то встаёт и говорит, что пора курить и люди идут курить.
                                                  Люди расплачиваются за обед рядом по той же причине, я обедал вместе с коллегами просто потому, что в двенадцать мы выходили в столовую чтобы успеть до большой очереди на раздаче. Что забавно, после увольнения я поддерживаю отношения именно с теми людьми, с которыми вообще вместе ни разу не обедал.
                                                  У вас таких неочевидных выводов достаточно много. Вообще лучший показатель эффективности датамайнинга на сегодняшний день это то, что яндекс мне всё время рекламирует машины стоимостью в 100 моих месячных доходов, видимо потому, что я программист а они, согласно статистике, в среднем зарабатывают 150к в месяц.
                                                  • UFO just landed and posted this here
                                                      0
                                                      Ну вот, сотрудники предприятия прочитают эту статью, и уже будут вертеть вашей системой как хотят)
                                                        0
                                                        Большой брат следит за вами. Что бы вы лучше работали. Ну может еще для чего-то — большому брату виднее.
                                                          +1
                                                          Судя по написанному, в компании адекватный кадровый отдел, с очень нетривиальными задачами и знанием как их решать. Что звучит как миф…
                                                            –2
                                                            Да, можно делать формулировки вроде
                                                            это не используется для шпионажа за сотрудниками, их перепиской или чем-то подобным,
                                                            но по факту именно таковым шпионажем это и является. А сам промшпионаж не всегда «зло», Сноуден это давно продемонстрировал. Нередко засекреченной является такая информация, которую следовало бы обнародовать.
                                                              +1
                                                              Может, они просто близкие знакомые, а может, у нас случай начала проникновения
                                                              Он самый ;)
                                                                0
                                                                Вам бы романы писать, батенька, а вы людей дурите.
                                                                  0
                                                                  Что-то мне напоминает Азимова «Основатели»… Там тоже придумали психоматематику.
                                                                  Эти игры с BigData только начало. Уже подобные алгоритмы применили для таргетированной рекламы и пропаганды. И вроде как сработало. (Это о Трампе и Брексите).
                                                                  Да и ничего нового по сути: матстатистика с теорией вероятности уже была показано применение в Monyball.
                                                                    0
                                                                    безусловно всё это занимательно но хренова та фирма, где что бы понять что сотрудник заскучал, надо перелопатить терабайты данных. Для всего этого существует простое человеческое общение. И хренов тот шеф который это не понял.
                                                                      0
                                                                      Если говорить про непосредственного руководителя — да. А вот если это хочет знать шеф шефа шефа?
                                                                      0
                                                                      Сбывающееся само-пророчество, сотрудник скопировал файлы потому что долго качал на рабочий комп, безопасник присмотрелся, еще и еще, начались вопросы, сотрудник психанул, пошел конфликт с безопасником, результат увольнение. Как ни странно х/ф «Особое мнение» прекрасная иллюстрация.

                                                                      Only users with full accounts can post comments. Log in, please.