У одного из наших заказчиков появился довольно интересный запрос, связанный с работой контрразведки на предприятии. Цель — чтобы более чем дорогую (в том числе для государства) информацию не выносили наружу. Идея реализации — сбор всех возможных открытых данных о сотрудниках и выявление среди них «казачков» по шаблонам поведения. Собственно, это и раньше делали безопасники вручную, но теперь предлагалось применить хороший дата-майнинг.
А дальше стало жутковато: мы поняли, как много можем узнать друг о друге, используя всего лишь открытые данные. Начиная с промышленного шпионажа и заканчивая личными отношениями на работе. Полезло столько всего, что нам чуть было не порезали публикацию этого поста. Да и порезали бы, если бы полезных «гражданских» применений не оказалось бы в разы больше.
Итак, представьте себе предприятие. Мы проводили эксперименты с его шиной безопасности, но вы можете представлять себе свой офис (и не сильно ошибётесь).
Вот что мы можем получить на входе от безопасников (и что совершенно точно будет доступно при решении более специфических задач контрразведки предприятия):
- Данные на каждого сотрудника от кадрового отдела.
- Данные почтового сервера — кто, когда и кому писал (текст письма и тему мы не видим).
- Данные о звонках по корпоративным номерам (о чём эти звонки, мы не знаем, только время совершения, длительность и номер вызываемого абонента).
- Данные всех устройств СКУД, включая RFID-турникеты, ключницы и системы распознавания номеров и лиц.
- Данные о погоде, событиях в офисе (обучении) и прочих внешних событиях.
- Данные проектных трекеров (кто, что и когда сделал).
- Данные, которые даёт робот, ползающий по корпоративной соцсети, способный парсить профили и прочие открытые данные.
- Данные об отпусках, командировках и т. п.
Плюс мы предположили, как эти данные можно обогатить при полном доступе к шине безопасности реальных режимных объектов, и начали делать выводы.
Для начала оказалось, что мы можем в реальном времени создавать базу коммуникации. Кто кому писал и звонил — это просто и доступно каждому. По СКУДу ещё можно очень быстро выяснить, кто ходил вместе курить, — они одновременно выходят за периметр и примерно одновременно заходят. Аналитика изменений времени совместных «покурок» позволяет предположить серьёзный разговор в курилке. И обогащает граф неформальных связей. Потом мы выяснили ещё одну волшебную вещь: сотрудники в столовой расплачиваются корпоративными пропусками, то есть действует та же СКУД-шина. Это может обогатить наши знания о графе неформальных отношений. Плюс ключницы. Плюс всё остальное.
Что нам даёт граф связей? Очень многое. Во-первых, мы взяли для обучения реальные данные «корпоративных шпионов», точнее, тех людей, кто уже уходил в другие компании, забирая с собой какие-то ценные и не очень данные. Оказалось, что прямо перед точкой эвакуации (увольнением) такие сотрудники не только начинают массово качать (без прочтения) все доступные документы (что очень легко выпаливается безопасниками), но и чуть раньше резко схлопывают граф общения. То есть как только кто-то показывает активность по снижению графа — это признак близкого ухода. Мы наложили картину на выборку уволившихся по собственному желанию сотрудников — и она оказалась довольно внятно совпадающей. Отлично, мы научились предсказывать уход незадолго до увольнения.
Инженер, например, явно не должен общаться с сотрудницей юридического отдела. Общаются? Скорее всего, у них какие-то неформальные отношения. Может, они просто близкие знакомые, а может, у нас случай начала проникновения, если объект режимный. С этой гипотезой мы пошли к психологам. Они злорадно потёрли руки и решили присоединиться к проекту.
Начиная с этого момента вечер перестал быть томным.
Граф связей даёт понять, кто каким делом занимается. По данным корпоративной соцсети, например, мы выяснили, что при заявленной одной должности в проекте сотрудник может часто отвечать на вопросы по другой теме. И быть неформальным экспертом, хотя официально кадровик этого знать не будет. Для «контрразведки» это значит, что когда сотрудник не соответствует своему досье, к нему стоит присмотреться. Для наших кадровиков в мирном применении это означает целый рой возможностей:
- Видно, кто и в чём реально круто разбирается.
- Граф связей позволяет выявить фактического лидера при номинальном управляющем (это часто зам или секретарь — кстати, секретарь потому, что отвечает за шефа). Это называется «поиском центра влияния» и тоже важно для выявления точек воздействия с помощью социальной инженерии.
- Видно, какие проекты кому интересны. Значит, если человек заскучает, можно будет предложить ему проект, который ему точно понравится. Это очень важно для удержания сотрудников, потому что одна из причин увольнений — скучная работа.
- Можно оптимизировать команду — для сложных проектов очень легко собрать «спецназ» из тех, кто уже сработался друг с другом, судя по графу связей. Причём это можно автоматизировать и ставить срабатывающихся людей вместе постоянно.
- Эйчары запросили ещё: «покажите топ людей, кто не отвечает на письма».
- По ряду подсказок психологов мы ещё выявили динамику пульсации графа связей и смогли ловить моменты неудовлетворённости сотрудников, то есть той стадии, когда он может уволиться, но ещё сам об этом не начинал думать. Сейчас это выявляется вручную при беседах с кадровиком раз в полгода на уровне «что тебе нравится, а что нет?» — и предлагается либо переобучение, либо смена проекта, либо рост. А тут можно автоматически. Мы видели, как кое у кого сотрудники раз в год ставят друг другу лайки, и затем увольняют тех, у кого мало лайков, а это значит, что вместе с бездельниками мочили и новаторов.
- По принципиальному росту графа можно отслеживать готовность человека стать лидером. Это очень важно для крупных компаний при сборе команд. При наличии расширенных данных (которые уже для «режимных» объектов) можно отслеживать периоды «мотивации» и «уныния». У нормального сотрудника, как подсказали психологи, они чередуются. Таким образом, если кто-то «уныл» постоянно, его легко соблазнить подкупом — а это ещё одна точка повышенного внимания для «контрразведки».
Заодно мы запарсили данные с сайтов кадровых отделов компаний сферы — они настолько ушлые, что иногда звонят прямо с корпоративного номера с сайта на корпоративный номер сотрудника и предлагают сменить место работы.
Ну и заодно по СКУДу мы рассчитали оптимальное расписание для корпоративного транспорта. Хоть что-то полезное на основе только тестовой выборки.
Это были ещё цветочки
У нас есть партнёр, который идеально лёг в проект «контрразведки»: парни умеют снимать профиль печати (типовых промежутков между нажатиями на кнопки клавиатуры и точностью попадания). Если помните, была даже такая история, как идентификация человека по «почерку» в напечатанной фразе вторым фактором. По точности — как бионические методы. Так вот, как метод авторизации это в широкую практику не вошло (хотя Курсера та же иногда проверяет так на экзаменах, что вы — это вы), а вот наш партнёр научился определять эмоциональное состояние по изменению почерка. И усталость.
У них есть профили для «расстроен», «повышенная температура» и «устал». А это крайне важно для диспетчера — если он устал или болеет, может упасть, например, самолёт. Если вашего сотрудника шантажируют и он во фрустрации перед важным решением — тоже лучше знать.
Добавляя эти данные к вышеописанным, мы можем получить прогнозирование проблем с работой и реализацией проектов.
Про распознавание ключевых слов в речи я вообще молчу. Сколько данных можно добавить — просто сказка, но, опять же, только для режимных объектов.
Мы поспрашивали коллег. Безопасники у всех интересуются такими фишками, но денег им никто на это не даёт. Сейчас эра тотальных открытых данных, а не тотального контроля. С другой стороны, наш математический аппарат оказался очень легко применим к другим задачам майнинга. Например, неожиданно легко оказалось смотреть на тенденции рынка госзакупок. Смотрим, в каких конкурсах участвует сотрудник, и вычисляем другие, где бы он мог участвовать, чтобы понять, что мы могли пропустить. Или вот если в здании мы работаем как провайдер какого-то сервиса, то автоматически конкурсы на закупку такого сервиса для всех на объекте будут дешевле, ведь мы туда инфраструктуру уже провели. Ставим на особый контроль. И так далее.
Эйчары говорят, что им важно не увольнять «казачков», а понимать, кто мучается и не может донести до руководителя, что его, например, завтраками кормят. Очень важно понимать, кто недоволен, потому что потом их бьют за то, что сотрудник об этом в «Фейсбуке» написал, а не сказал руководителю. Или сказал, но тот не понял.
Резюме
Привет, параноики! Мы делаем многое, чтобы вы беспокоились не зря. С одной стороны, как-то страшно, но с другой — на своём опыте и на основе запросов от наших заказчиков мы поняли, что всё это не используется для шпионажа за сотрудниками, их перепиской или чем-то подобным. Бизнесу это интересно с точки зрения удержания ценных кадров.
Ссылки
- Распознавание речи для параноиков
- Распознавание лиц на проходной
- Моя почта — brahew@croc.ru
Комментарии (53)
apro
16.05.2017 11:19+2Сразу возникает вопрос, а внедрили разработчики этой систему её у себя?
Чтобы система предупреждала HR и начальство о том когда уже они сами могут
подумать поменять место работы?
brahew
16.05.2017 12:23Конечно, но далеко не все элементы. А вообще один из первых инструментов этой системы наши сотрудники сами запилили в нерабочее время для фана, то была карта коммуникации, которая отображала в виде карты звездного неба связи сотрудников между собой :)
summeroff
16.05.2017 11:35-3Чувствуется асимметрия в возможностях предприятия и сотрудника. Если предприятие не делает ничего плохого, то ему нечего скрывать.
Shaz
16.05.2017 14:21+2По вашей логике, если у нас есть конструкторское бюро, которое на 100% соблюдает текущие ФЗ, то любые чертежи и прочие документы можно выносить и раздавать всем желающим?)
summeroff
17.05.2017 11:15+1А теперь попробуйте туже логику применить против сотрудника, который на 100% соблюдает текущий ФЗ.
shifttstas
17.05.2017 09:31Вы уже убрали дверь в туалет у себя в квартире?
summeroff
17.05.2017 11:16+1Вы потеряли способность понимать сарказм после травмы или добровольно удалили?
redmanmale
16.05.2017 11:47Не увидел ничего страшного. Все эти метаданные и так всегда были у фирмы, просто использовались неэффективно.
А те, кто занимается промшпионажем тем более это всё знают, и знают, как обойти.
MonkAlex
16.05.2017 12:19+8Столько воды, а где реальная польза от того, что вы сделали? Я чет не вкурил совсем.
Единственно интересно звучащий кейс — узнать, что человек скоро захочет уйти. И то, очевидно что показатель «магический» и будет врать в приличном числе случаев.brahew
16.05.2017 12:55Автопостороение хороших проектных команд. Выявление тех, кто реально тянет проект, а не номинально руководит. По промшпионажу — ну ясно же, что мы под NDA, но все предпосылки выше есть.
MonkAlex
16.05.2017 13:00+1То, что люди хорошо общаются или курят вместе, далеко не показатель того, что они сработаются над проектом.
Как и их заинтересованность в теме проекта не показатель того, что они могут что-то сделать.
Тянет проект по лайкам в «соцсети», или я что-то упустил? Я бы не хотел работать там, где от лайков зависит моя ценность.
Промшпионаж, когда открыт доступ к документам, и вы замечаете их «сливание» — отличный показатель. Не получилось построить нормальную матрицу доступа даже к данным, зато мы знаем, что сотрудник «может быть» скоро уйдет от нас.brahew
16.05.2017 15:011. «То, что люди хорошо общаются или курят вместе, далеко не показатель того, что они сработаются над проектом.
Как и их заинтересованность в теме проекта не показатель того, что они могут что-то сделать.»
Отвечаю: Да, не показатель. Но один из факторов, которым пренебрегать не стоит
2. «Тянет проект по лайкам в «соцсети», или я что-то упустил? Я бы не хотел работать там, где от лайков зависит моя ценность.»
Отвечаю: Алгоритм строится не на лайках и автостроении, а пляшет от имеющейся базы проектов и отзывов на имеющиеся проектные команды. Кроме того, мы видим статистику активности по проектам. Все это вместе (включая курилку) может дать очень репрезентативную картинку
lohness
25.05.2017 14:29а главное что в подавляющем большинстве контор его даже останавливать не будут если это рядовой спец
и плевать что он работает много лет в курсе всего итд итп но зряплату ему(хотя бы) не поднимут и новый комп с моником тоже не побегут покупать
а вот новенького возьмут и на больший оклад (хотя он вообще еще не в курсе что и как делать) и сразу все новенькое предоставят
да спеца элитника, да еще завязанного на секреты конечно будут беречь и удерживать, но сливают инфу обычно именно серые мышки недовольные своим положением, окладом и т п
hacenator
16.05.2017 15:14+2Теперь ~3к человек точно знают куда не стоит идти работать если не хочешь стать подопытным экземпляром :)
Akon32
16.05.2017 16:57+3Почему-то из тесного общения делается вывод о хорошей совместимости сотрудников. А вдруг они друг друга ненавидят и много общаются только потому, что работа требует, или один другому замечаниями "палки в колёса" постоянно ставит?
brahew
16.05.2017 20:40Если у нас будет паттерн поведения сотрудников и признак, что они ненавидят друг друга, научим систему это понимать. Тут же не система даёт указания, как правильно формировать команду, а менеджмент может спросить совета у системы и доубучить ее, если она где-то ошибается
ad1Dima
17.05.2017 09:33+1Вы часто обедаете/курите с теми, кого ненавидите?
Akon32
17.05.2017 11:30Практически каждый день вижу в столовой тех, с кем взаимодействую раз в 1-2 года. Для системы это может выглядеть как тесное неформальное общение. На деле о качествах этих людей я ничего сказать не могу, должностные обязанности не пересекаются, и было бы странно считать, что из нас получится отличная команда.
Simplevolk
17.05.2017 11:38+1Самое интересное будет, когда на стол высокому руководителю ляжет вот такая выборка (кто с кем тесно общается). И когда этот руководитель невзначай спросит у сотрудника о такой дружбе, может получиться конфуз: сотрудник и знать не знает, что он «тесно с кем то общается», а руководитель подумает, то тот его обманывает. Ведь «система не врет».
ad1Dima
17.05.2017 11:50Потом мы выяснили ещё одну волшебную вещь: сотрудники в столовой расплачиваются корпоративными пропусками, то есть действует та же СКУД-шина. Это может обогатить наши знания о графе неформальных отношений. Плюс ключницы. Плюс всё остальное.
Вижу в столовой, и оплачиваю каждый день в одной кассе друг за другом несколько разные сценарии.
nikitasius
16.05.2017 16:59-1Инженер, например, явно не должен общаться с сотрудницей юридического отдела. Общаются? Скорее всего, у них какие-то неформальные отношения. Может, они просто близкие знакомые, а может, у нас случай начала проникновения, если объект режимный. С этой гипотезой мы пошли к психологам. Они злорадно потёрли руки и решили присоединиться к проекту.
Все гораздо проще, ни к чему лампочку через полстраны зажигать, когда до нее рукой подать.
Daniil1979
16.05.2017 17:08по 2-му пункту — «Граф связей позволяет выявить фактического лидера при номинальном управляющем»
Хм… так вот почему меня выпилили на предыдущем месте работы. Просто мой рукой водитель увидел, что у меня граф связей обширней, чем у него, и что при этом мои контрагенты реально готовы мне помочь. После этого до этого человечка наконец-то дошло, что я работаю сам по себе, без его руководительства, и ни в грош его не ставлю и как человека, и как руководителя.
На практике же — я ни разу не лидер, но насчёт широкой сети связей и знакомств в организации, где ты работаешь — куда же без этого службе личной разведки имени меня самого? :-)
по 1,3,4,5,6,7 — ой, вот только не надо сказки рассказывать, что хоть кому-то из высшего руководства это всё интересно…
mikka1
16.05.2017 18:51+1Ещё было бы интересно посмотреть, как граф связей меняется в зависимости от стажа работы в компании/отрасли, и учитывается ли стаж при сравнении таких графов у разных людей. Исходная (возможно, глупая) гипотеза в том, что человек, который работает даже на условно некритичной должности вот уже почти 10 лет, перебывал на всех корпоративах по много раз, хорошо знает, у кого дети в детский сад ходят, а у кого — уже в институт поступают, а курить может ходить вообще с Васей из совершенно несмежного отдела, потому что они с ним случайно в один спортзал ходят после работы, потому что живут рядом. У относительно нового сотрудника (даже с условными задатками лидера) такой граф связей может быть существенно менее «наполненным» в первое время его работы…
З.Ы. Хотя это все лишь мысли вслух — возможно, я вообще ни разу не прав.
lash05
16.05.2017 17:56+3Идеи интересные, но рискованные — в первую очередь система «заподозрит» неординарных сотрудников.
Loki3000
16.05.2017 18:07+4Мне показалось что все тоже самое можно узнать просто спросив у секретарши. Она еще и про самих безопасников подробности расскажет:)
nikitasius
16.05.2017 23:28Лучший вариант, когда секретарша вициков присылает файл презентации о развитии компании (планах продажи, которые не афишируются) и просит его перекодировать, так как ее офис его не ест..
altai2013
16.05.2017 20:16Впечатляет! При таком маленьком количестве входных данных удалось нагрести такую массу аналитики. А что будет, когда добавится физиогномика с видеокамер, автоматический мониторинг соцсетей и анализ баз данных, украденных у госструктур и банков?
KIVagant
16.05.2017 22:41Интересно, если человек не курит и неприемлет корпоративные соцсети как вид, что вы собираетесь анализировать? Походы в туалет? Кому он пишет? Мобильные телефоны с интернетом и приватными мессенджерами вы как отследите?
ad1Dima
17.05.2017 09:40Как-то же он с коллегами коммуницирует. Если он это делает не по корпоративным каналам, то это уже угроза безопасности.
Мобильные телефоны с интернетом и приватными мессенджерами вы как отследите?
там, где это критично, там нет мобильных телефонов с приватным интернетом и мессенджерами. ну и контролируемые соты тоже никто не отменял.fireSparrow
17.05.2017 11:28А вот я, например, 95% сообщений получаю только с адреса корпоративной системы управления задачами, они всегда приходят с одного ящика. А отвечаю вообще через веб-интерфейс данной системы. Внутреннего телефонного номера у меня нет вообще. Курить не хожу, обедаю один.
Как бы вы построили мой граф?ad1Dima
17.05.2017 11:54+1Я, если что, к авторам статьи отношения не имею.
Но есть подозрение, что если ваш граф разительно отличается от графов других сотрудников, то эту ситуацию нужно разбирать вручную.
Граф нужен, что бы детектить девиантное поведение. Причем как отклонения от коллектива, так и от самого себя, а не для того, чтоб сравнивать его с каким-то конкретным, сторонним паттерном.
burst
17.05.2017 17:22Подобные системы называются DLP. В «крутых» компаниях уже очень давно корпоративное ПО на сотовых телефонах сотрудников стоит. А где соблюдается режимность так и не пронести вообще ни какую электронику…
Electrohedgehog
17.05.2017 05:52+1Ударим датамайнингом по здравому смыслу!
Люди курят вместе просто потому, что интервал между сигаретами у всех составляет примерно равное время и есть точки синхронизации — приход на работу и обед. Кто-то встаёт и говорит, что пора курить и люди идут курить.
Люди расплачиваются за обед рядом по той же причине, я обедал вместе с коллегами просто потому, что в двенадцать мы выходили в столовую чтобы успеть до большой очереди на раздаче. Что забавно, после увольнения я поддерживаю отношения именно с теми людьми, с которыми вообще вместе ни разу не обедал.
У вас таких неочевидных выводов достаточно много. Вообще лучший показатель эффективности датамайнинга на сегодняшний день это то, что яндекс мне всё время рекламирует машины стоимостью в 100 моих месячных доходов, видимо потому, что я программист а они, согласно статистике, в среднем зарабатывают 150к в месяц.
electronus
17.05.2017 07:05Деллал такую же лаб работу с логами прокси сервера. Достаточно одного человека, и всё как на ладони. Но есть одно «но»: настоящую плохую задницу таким образом не вычислишь. Аматора — да. А человека с разумом и нацелившегося на вынос конфиденциальных данных так не вычислишь. Не флешкой, так с экрана снимет. Или на рабочий лептоп затащит под видом работы, а лептоп потом потеряется/сломается…
evmenkov
17.05.2017 10:09Ну вот, сотрудники предприятия прочитают эту статью, и уже будут вертеть вашей системой как хотят)
ElectroGuard
17.05.2017 13:55Большой брат следит за вами. Что бы вы лучше работали. Ну может еще для чего-то — большому брату виднее.
molnij
17.05.2017 14:24+1Судя по написанному, в компании адекватный кадровый отдел, с очень нетривиальными задачами и знанием как их решать. Что звучит как миф…
Darkhon
17.05.2017 17:22-2Да, можно делать формулировки вроде
это не используется для шпионажа за сотрудниками, их перепиской или чем-то подобным,
но по факту именно таковым шпионажем это и является. А сам промшпионаж не всегда «зло», Сноуден это давно продемонстрировал. Нередко засекреченной является такая информация, которую следовало бы обнародовать.
BurkinKot
17.05.2017 17:22+1Может, они просто близкие знакомые, а может, у нас случай начала проникновения
Он самый ;)
dikeyfd
17.05.2017 17:23Что-то мне напоминает Азимова «Основатели»… Там тоже придумали психоматематику.
Эти игры с BigData только начало. Уже подобные алгоритмы применили для таргетированной рекламы и пропаганды. И вроде как сработало. (Это о Трампе и Брексите).
Да и ничего нового по сути: матстатистика с теорией вероятности уже была показано применение в Monyball.
RusMikle
25.05.2017 00:42безусловно всё это занимательно но хренова та фирма, где что бы понять что сотрудник заскучал, надо перелопатить терабайты данных. Для всего этого существует простое человеческое общение. И хренов тот шеф который это не понял.
ad1Dima
25.05.2017 05:05Если говорить про непосредственного руководителя — да. А вот если это хочет знать шеф шефа шефа?
forcesh
«смогли ловить моменты неудовлетворённости сотрудников, то есть той стадии, когда он может уволиться, но ещё сам об этом не начинал думать»
жуть какая)
PavelMSTU
Сходите на фильм «Сфера» (2017) Джеймса Понсольдта — вот там действительно жуть!)