23.11.2015

Technologie, která předpoví vaše další bezpečnostní selhání

Stanou se nástroje prediktivní analýzy nepostradatelnou součástí každé firmy? 


Unnamed

V roce 2013 vyplatila IRS (pozn. Internal Revenue Service – americká vládní agentura zodpovědná za výběr a vymáhání daní) 5,8 miliardy amerických dolarů v náhradách na daních, které se později ukázaly jako podvodné, jak ukázala zpráva Government Accountability Office z roku 2015. Tato zpráva však nijak nepřekvapila Department of Revenue státu Kentucky, který stupňuje svou vlastní válku proti vzrůstajícím daňovým podvodům pomocí prediktivních analytik.

Prediktivní analýza využívá veřejně dostupné i soukromé zdroje dat k rozhodnutí o další činnosti. Na základě analýzy toho, co se již stalo, mohou organizace zjistit, co se pravděpodobně stane dříve, než cokoli ovlivní zabezpečení fyzické infrastruktury, lidského kapitálu nebo duševního vlastnictví.

Department of Revenue (DOR) státu Kentucky již měl zaveden automatizovaný batch proces, který hledal náznaky podvodů na základě určitých kritérií, které DOR nechce zveřejňovat. I s pomocí starého systému byl DOR schopen zastavit 8 – 10 miliónů amerických dolarů na podvodných daňových podáních. Dle Melody Tudorové, konzultantky DOR, však bylo potřeba jít ještě dále, jelikož podvodníci jsou stále chytřejší.

Tudorová a její tým zavolali na pomoc konzultanty firmy SAS a jejich program pro vládní organizace na odhalování daňových podvodů, aby zjistili, jak by metody prediktivní analýzy mohly posílit obranu úřadu. Poskytli společnosti SAS  data za posledních šest let a požádali je, aby zkusili přijít s něčím jiným, než byl jejich dosavadní checklist. Tudorová si nebyla jistá, jestli něco vymyslí, ale, jak říká, chtěla mít srovnání s výsledkem práce svého vlastního týmu.

Tým testoval nástroj po celý poslední rok a pak jej spustil paralelně s existujícím systémem v průběhu letošního daňového období. Aplikace od SAS zastavila další 1 milion dolarů v boji proti podvodům v prvním měsíci roku 2015 – a Tudorová říká, že očekává, že se toto číslo do konce roku zdvojnásobí.

Nástroj prediktivní analýzy se rozhodně vyplatil, říká. „Nástroje, které jsme měli předtím, byly užitečné, ale nedokázaly rychle identifikovat opakující se vzory a anomálie v rámci obrovského množství přiznání,“ říká Tudor. „Nyní jsme schopni lépe vstřebat velké množství dat a zabránit odesílání neoprávněných plateb.“

Predikce vyžaduje trpělivost

Zatímco Kentucký DOR je z nástrojů prediktivní analýzy nadšen, podle průzkumu Institutu SANS řada dalších organizací nezvládá využít plný potenciál těchto nástrojů. Tyto informační nástroje podle průzkumu z roku 2014 používalo jen 29% respondentů oproti 38% z roku 2013.  

„Na trhu existuje spousta nabídek a organizace si uvědomují, že může být obtížné je začít využívat,” říká Phil Hagen, certifikovaný instruktor SANS institutu. „Zvažují, jestli mají dostatek lidských zdrojů pro výběr a integraci těchto informačních nástrojů a služeb.“

Hagen dodává: „nemůžete nasadit řešení založené na prediktivní analýze v úterý a očekávat výsledky ve středu. Je potřeba náběh a ustanovení základních hodnot, aby pak bylo možné vidět odchylky nebo posloupnosti, kterých se můžete chytit.“

I ten nejsofistikovanější prediktivně analytický software však vyžaduje lidský faktor. Například jakmile nástroje Kentucky DOR (ať již existující checklist nebo nástroj od SAS) poukážou na podezření, daňové přiznání je předáno k přezkoumání pověřené osobě. „Prediktivní analýza je jen tak dobrá jako rozvaha, se kterou ji tvoříte a dotazy, které jí pokládáte,“ varuje Hagen.

Také je nezbytné, aby projekty prediktivní analýzy řídili datoví specialisté, nikoli bezpečnostní týmy. „Bezpečnostní týmy jsou spotřebiteli dat, nikoli jejich tvůrci,“ tvrdí Hagen.

V Arlingtonu (Virginia), kde sídlí Surescripts, řídí Paul Calatayud (CISO) tým vědců (datových specialistů). Paul Calatayud se domnívá, že nástroje prediktivní analýzy jsou jedním z nejlepších prostředků obrany, které jeho společnost má proti podvodům a ztrátě dat nebo jejich odcizení. Surescripts je síť zdravotnických informací, která směruje a zpracovává na 7 miliard transakcí ročně.

Protože spravuje data o více než 230 milionech pacientů nasbíraná za posledních 13 let, musí Calatayud držet náskok před těmi, kteří by je chtěli zneužít. „Všechny naše smlouvy jsou závislé na schopnosti udržet důvěrnost napříč systémy. Dojde-li ke ztrátě dat, naše společnost přestane existovat,“ říká.

Surescripts využívá k nezávislým výpočtům rizik a detekování odchylek od normy služeb firmy Splunk Enterprise. Manažeři z Surescripts mají starost jak o vnitřní, tak o vnější hrozby, včetně úniku nebo zneužití osobních informací zákazníků nebo pochybení ze strany zaměstnanců. Splunk Enterprise například upozorní Surescripts pokud pediatr předepíše léky sedmdesátiletému pacientovi (protože profesí pediatra není léčit geriatrické pacienty).

Splunk Enterprise také monitoruje a agreguje primární data z Active Directory, firewallů, softwarů pro zprávu přístupů a identit, datových úložišť a tiskových serverů a z cloudových aplikací, k pochopení uživatelského chování.

Pokud některý ze zaměstnanců začne otevírat nebo přenášet soubory častěji než obvykle a je aktivnější na sociálních sítích jako je LinkedIn a opakovaně si vylepšuje životopis, Splunk Enterprise pojme podezření, že se chystá společnost opustit a upozorní na to Calatayuda. Celkově vzato může takové chování zaměstnance naznačovat, že se chystá firmu opustit a může se pokusit vynést firemní data nebo chráněná zdravotní data. Díky upozornění může Calatayud zvýšit monitoring aktivit takového zaměstnance, spojit se s oddělením lidských zdrojů a s liniovým manažerem zaměstnance a případně zrušit veškeré přístupy.

Klíčem je dle Calatayuda mít s každým oddělením, kterého se tato situace týká - právní, HR, compliance, tiskoví mluvčí, policie a IT - prodiskutovaný krizový scénář, aby když dojde k podezřelé činnosti ze strany zaměstnance, přijde okamžitá reakce. Vyskočí-li upozornění, že zaměstnanec Surescripts překročil nastavené hranice, může být vyhozen do 4 hodin, dodává.

Bez rychlé reakce je však z hlediska portfolia bezpečnostních nástrojů firmy prediktivní analýza spíše rizikem. „Není možné si nějakou zabezpečovací technologii pořídit a pak ji nevyužívat,“ podotýká Calatayud.

Budování vlastního řešení

Jason O’Conner, viceprezident oddělení analýzy a řešení pro vojenské mise ve zbrojařské firmě Lockheed Martin, říká, že množství zdrojů dat, ze kterých je možné vybrat pro účely detekce hrozeb může být pro mnoho organizací až ohromující, zejména v době růstu sociálních médií.

„Protože čelíme hrozbám téměř v reálném čase, obrana proti nim musí být ještě rychlejší: musí být prediktivní,“ říká. „Při téměř každé větší světové události za posledních deset let bylo vždy na Internetu ohromné množství souvisejících informací.“

Před sedmi lety se Lockheed Martin postavil této výzvě čelem za pomoci svých vědců a matematiků. Vyvinuli analytický nástroj, který je nyní schopen předpovídat širokou škálu událostí jako jsou například společenské nepokoje nebo biologické hrozby. „Nešlo nám jenom o taktický pohled na to, co se děje, ale také jsme chtěli v datech nalézt charakteristiky a ukazatele, které by i umožnily vyvozovat či vyhodnocovat závěry,“ podotknul O'Connor.

Poté co tento analytický nástroj uspěl interně, začala jej firma Lockheed Martin prodávat svým dodavatelům a dalším partnerům pod komerčním názvem LM Wisdom. Firma stále LM Wisdom používá interně pro nejdůležitější bezpečnostní problémy - například pro analýzu dodavatelského řetězce.

Lockheed Martin má tisíce dodavatelů, jež firmě pomáhají vytvářet platformy a produkty - všichni z nich jsou potenciálními zdroji rizik. Společnost monitoruje dodavatele hlavně kvůli padělaným součástkám a materiálu. Sleduje jejich komunikaci přes sociální média, jejich webové stránky a také internetové obchody. Prediktivní modelování, jež je součástí softwaru LM Wisdom pak vyhodnocuje pravděpodobnost, že prodejce je falešný.

„Žádný dodavatel nebude nikde rozhlašovat ‚kupte si u nás padělané součástky,‘ ale LM Wisdom dokáže analyzovat jazykovou stránku online obsahu a marketingových materiálů a i typ věcí, které dodavatel prodává,“ říká O'Connor. Zaměstnanci pak mohou použít matici vygenerovanou systémem k ověření spolehlivosti dodavatelů a snížit tak riziko spojené s dodávkami součástek, jejich kvalitou a s kontaktem se špatnými dodavateli obecně.

Včasné varování chrání lidi

Prediktivní analýza se dá využít také k ochraně personálu - např. dobrovolníku mezinárodních humanitárních organizací nebo zaměstnanců celosvětových ropných společností. V některých oblastech může dojít k únosům, kde je pak požadováno výkupné za miliony dolarů. Podle Luca Scagliariniho, ředitele firmy Expert System USA, která vyvíjí zpravodajský SW, mohou organizace sledováním místních politických uskupení na sociálních médiích, ve zprávách a na podobných místech detekovat nepokoje v blízkosti svých pracovišť a varovat své zaměstnance, ať nevycházejí z hlídaných zón.

Vhled do světových nepokojů dokáže odhalit měnící se míru zranitelnosti fyzického majetku a snížit rizika spojená s dodavatelským řetězcem. Ropné společnosti mohou například analýzou relevantních kanálů sociálních médií a dalších dat předejít dopadu stávky v přístavu a nedostat se do situace, kdy jejich plně naložené tankery trčí v takových přístavech.

Jak říká David Monahan, ředitel oddělení výzkumu bezpečnosti a řízení rizik ve společnosti Enterprise Management Associates, v soukromém sektoru obvykle funguje prediktivní analýza nejlépe, když je jejím vstupem širší kontext informací z různých veřejných nebo open-source služeb a soukromých, placených kanálů.

„Množství zdrojů dat je často součástí strategie jako takové, protože jednotlivé zdroje mají mezi sebou cenné odlišnosti,“ říká. Poskytovatelé se často soustředí jen na určité typy hrozeb - personální, geografické, fyzické či informační. Dodává, že vládní organizace mají své vlastní metody sběru dat, které jsou mnohem dál než ty, které jsou k dispozici na trhu.

„Každá organizace má vlastní profil rizik, které ji ovlivní a míru rizikové tolerance vzhledem k událostem, u kterých je ochotna je nechat proběhnout,“ vysvětluje Monahan. „I když vám nikdo neřekne jen tak, že ‚peníze nejsou problém‘, společnosti, které se více vystavují rizikům, věnují samozřejmě v rozpočtu na prediktivní analýzu více peněz.“ Protože jsou však nástroje prediktivní analýzy stále levnější a jednodušší na použití, budou se nepochybně více a více uplatňovat.

Autorka: Sandra Gittlen

Překlad: Josef Charvát, Vít Pazdera

Kam dál?