Polygraf: problémy náboru a informační bezpečnosti / Habr

Rád bych se podělil o své zkušenosti s předáváním polygrafu jako kandidát a také o problémy, které jsem v tomto procesu viděl, jaká řešení existují a proč je nepotřebujete. Možná to mnohé bude zajímat a po prostudování mých zkušeností se budou moci informovaněji rozhodnout, zda si budou muset vybrat, zda test podstoupí nebo ne.

Všechno to začalo jako obvykle: před Novým rokem mi jiný sourcer napsal do Telegramu, že existuje zajímavá pozice pro šéfa malého backendového týmu pro nový projekt. Protože jsem aktuálně otevřený potenciálně zajímavým nabídkám, rychle jsme naplánovali první technický pohovor.

Spíš se mi líbil samotný rozhovor, byl to 1 na 1 s CTO, standardní otázky na Javu ve stylu what is Integer.valueOf(10) == Integer.valueOf(10); V roce 2008 bylo módní klást takové otázky. Některé úkoly kontroly kódu, některé sql. Pohovor ale trval 2 hodiny, na což jsem samozřejmě nebyl upozorněn a zmeškal jsem kvůli tomu pracovní schůzku, maličkost, ale nepříjemná. Celkově se mi zdálo, že odpovídal perfektně a všechno věděl. Na stejném pohovoru mi bylo řečeno, že musím projít řadou testů na inteligenci, online psychologii a polygraf. V tuto chvíli by stálo za to přestat komunikovat, ale vzhledem k tomu, že jsem o tom všem neměl čas přemýšlet a také kvůli své přirozené zvědavosti, souhlasil jsem.

Testování bylo naplánováno na dovolenou během novoročních svátků, upřímně jsem očekával 40 minut + cesta na druhý konec města. To byla další moje chyba, jelikož jsem si předem neupřesnil podrobnosti. Polygraf na místě vysvětlil, že plnohodnotný test kvality může trvat až 4 hodiny. Pouze při žádosti o práci u policie vás 40 minut testují.

Samotný proces testování mi byl podrobně popsán, stejně jako princip fungování polygrafu a jaké parametry čte: jsou pouze tři (puls, dýchání, kožní vodivost). Ptali se mě, co ještě o tom polygrafu vím: Vyjádřil jsem názor svého příbuzného, ​​který celý život pracuje jako psycholog u policie: ten polygraf je naprostý nesmysl a souhlasí s tím i polygrafové na plný úvazek ministerstva vnitra. Na což mi bylo řečeno, že přístup policie není vážný, ne jako náš.

První fáze testování bez připojení polygrafu: zpracování seznamu otázek, které budou položeny později (tato fáze je vyžadována zákonem). Nemusíte odpovídat na žádnou otázku. V této fázi se navíc objevila řada otázek, které při samotném testování nebyly položeny: například ohledně nemocí a trestních rejstříků příbuzných. Nejvíce mi samozřejmě vadilo, že se celý rozhovor natáčel na video (ale o tom později).

Druhá etapa: převzetí kontrolních ukazatelů. V této fázi musíte jen pár minut sedět se zavřenýma očima a pak hrát hru: oklamat polygrafa. Vyberete si náhodnou kartu s figurkou z balíčku. Polygraf klade otázky týkající se barvy a tvaru postavy. Všechny otázky musí být zodpovězeny záporně. Měla jsem vtipnou situaci, kdy jsem zpočátku špatně odhadla barvu postavy – byla modrá, ale rozhodla jsem se, že fialová. Z tohoto důvodu byly mé reakce na tuto otázku jiné, než jsem očekával.

Nakonec fáze registrace: Položí otázku a poté 20 sekund odečítají. Pokud se během této doby ukazatele lišily od toho, co se očekávalo, budete požádáni, abyste nám řekli, o čem jste v tu chvíli přemýšleli. Například:

— Chtěli jste si někdy přivydělat prodejem drog?

— Na co jsi právě teď myslel?

— Že obchod s drogami je extrémně riziková záležitost.

Pokud otázku nelze zodpovědět způsobem, který nezahrnuje aktivní práci imaginace, polygrafista otázku přeformuluje tak, aby bylo snazší odpovědět, například:

— Způsobil jste někdy společnosti škodu?

– Ne. dochází k nežádoucím rázům mozkové aktivity. Pamatuji si všechny své chyby za posledních 15 let.

Otázka je pak přeformulována jako: Už jste někdy намеренно způsobil společnosti škodu?

-Žádný. Pak je vše ok.

Protože nebyly žádné zvláštní stížnosti na poctivost mých odpovědí, dokončili jsme úkol za 2 hodiny z uvedených 4.

Po testování jsme z mé iniciativy strávili nějaký čas povídáním o odpovědnosti polygrafisty a jejím přístupu k ukládání dat, a tehdy jsem si uvědomil celou hloubku jejich problémů:

K uchovávání obrazových záznamů dívka uvedla, že tyto záznamy nikdy neposílá přes internet a neukládá je do počítače, který je připojen k internetu. To je jistě chvályhodné, ale zjevně v myslích běžných lidí je krádež dat hackerem přes internet jedinou možností útoku. Navíc se ukázalo, že počítač, na kterém se testování provádí, se nikdy nepřipojí k internetu, s výjimkou případů zasílání výsledků poštou a aktualizace antivirové databáze, dobře, OK.

Videonahrávky jsou ukládány v čistém textu na externí pevný disk, který má člověk uložený v šuplíku stolu nebo nosí v kabelce, no OK.

Výsledky testu jsou zákazníkovi zaslány poštou jako prostý text. Navíc podle zákona je doba uchování takových dat minimálně 3 roky, no, OOOK.

Obecně, když to víme, můžeme zvážit možnosti náhodného nebo úmyslného úniku kritických dat. Údaje, které mohou a budou použity k vydírání jak polygrafisty, tak testovaných osob:

1. Krádež pevného disku: je snadné vytrhnout někomu kabelku z rukou, ukrást z auta nebo dokonce z kanceláře (v kanceláři jsem nezaznamenal žádný alarm, kancelář je v prvním patře obytného domu, v oknech nejsou mříže, vstup je otázkou minut)
2. Příbuzní polygrafisty (například děti nebo teenageři), kteří znají obsah disku, mohou data na darknetu prodat za kapesné.
3. Ostatní zaměstnanci společnosti mohou data před odchodem zkopírovat a později prodat.
4. Uniklé e-mailové heslo poskytne útočníkům celou historii testování na několik let, kromě videa.
5. Sám polygraf se může stát obětí vydírání nebo úplatkářství.
6. Banální nedbalost a ztráta disku.
7. Nakonec bych nevylučoval, že je úřad odposloucháván, je před tím evidentně dost slabě chráněn.

Po několika dnech přemýšlení o tom, co jsem viděl, jsem si jako cvičení pro svou mysl vytvořil seznam požadavků, které musí takové organizace a zákazníci splnit, pro případ, že budu požádán o další test:

1. Pokud je vyžadován videozáznam testování, pak by mělo být použito schéma s asymetrickým šifrováním. Veřejný klíč je uložen v počítači, soukromý klíč v bankovním sejfu.
2. Jsou stanovena jasná pravidla pro mazání dat po určité době (měsíc, 3 měsíce) nebo výskytu určité události (přijetí nebo odmítnutí nabídky)
3. Výsledky testů jsou uloženy v zašifrované podobě podobně jako video.
4. Výsledky testů jsou přenášeny přes zabezpečené kanály (jednorázové chaty) bez ukládání historie.
5. Výsledky testování uchovává zákazník po přesně definovanou dobu nebo do přijetí nebo odmítnutí nabídky.
6. Byl vytvořen jasný okruh zaměstnanců zákazníků, kteří mají přístup k výsledkům testování.
7. Testovací prostor je pravidelně kontrolován na záznamová zařízení.
8. Dodržování výše popsaných rituálů je pravidelně kontrolováno nezávislou organizací specializující se na informační bezpečnost.
9. Riziko úniku dat je pojištěno na rozumnou částku (řekněme 10 milionů rublů)
10. Zákaznická společnost mi zaplatí za jeden pracovní den bez ohledu na výsledek (koneckonců jsou to 4 hodiny plus doba cesty)
11. Volitelné, ale žádoucí: data jsou šifrována druhým veřejným klíčem, který patří nezávislé organizaci: pojišťovně nebo notáři.

Pokud si myslíte, že jsou tato pravidla přehnaná nebo paranoidní, tak jste pravděpodobně ještě nebyli vydíráni Sice z mého pohledu je dodržování takových opatření celkem rozumné a reálné, ale také chápu, že se tím mnohonásobně zvýší náklady na testování a nikdo se nikdy nebude tolik obtěžovat, alespoň dokud nebudou podobná opatření a odpovědnost uvedena v zákoně (chtěl jsem uvést odkaz na zákon, který zde v konkrétním zákoně nebyl schválen, ale v současném zákoně o testování neexistuje žádný zákon. Státní duma, takže vše upravuje jednoduše zákoník práce)

Proč nemusíte podstupovat test: rizika úniku dat a vydírání existují, ale stále jsou to pouze pravděpodobnosti. Ale pokud máte bujnou představivost, pak vás nevyhnutelně čeká několik týdnů ne zrovna nejpříjemnějších myšlenek, jako se to stalo mně. Nestojí to za to, věřte mi.

Proč společnosti, které najímají programátory, nemusí provádět testování: Ve firmě, kde pracuji (ne v té nejprestižnější a nejnáročnější), potřebuji udělat asi 20 pohovorů a nakonec tu práci získá jen JEDEN člověk. Pokud k tomu přidáte polygraf, pak se nábor kohokoli stane nereálným, protože 9 z 10 kandidátů odmítne, a to právem Problém najímání je nyní poměrně akutní.

Jak ošidit polygraf? — Tento problém jsem konkrétně nezkoumal, ale mám podezření, že kontrolu nad svými reakcemi lze dosáhnout školením se zpětnou vazbou. Člověk může ovládat dýchání a dokonce i srdeční tep (pokud existuje zpětná vazba ve formě monitoru srdeční frekvence). Předpokládám, že když najdete polygrafa, kterého znáte, s vybavením a provedete pár desítek testovacích sezení, při kterých se budete dívat na monitor, když říkáte pravdu a lžete, budete schopni pochopit, co k jakým reakcím vede, a naučíte se je do určité míry ovládat. Je zřejmé, že to nebude fungovat s polygrafy, které pracují v tandemu se skenery MRI. Jak vysvětlil polygraf, tato technika se v Rusku zatím nepoužívá, protože je velmi drahá, ale v EU a USA je již zcela běžná.

No, tady je otázka, která se nevyhnutelně objeví v komentářích.: Firma objednávající studii je jistý DataUniverse, nějaká IT divize firmy z oboru farmakologie, nic jiného nevím.

Další otázka, která bude vznesena: Máš co skrývat? Pokud se takto zabalíte, znamená to, že existujete, a to znamená, že se nehodíte do společnosti. Myslím, že každý má co skrývat, i když je to v mezích zákona, jsou věci, které je prostě nepříjemné sdílet s cizími lidmi.

Zajímal by mě názor obyvatel Habru, specialistů na informační bezpečnost a polygrafů (pokud na Habra nějací jsou): myslíte si, že uvedená rizika a ochranná opatření jsou oprávněná nebo zcela přitažená za vlasy.