Исследования и Разработки в области защиты информации - Л.К. Бабенко, Ю.А. Брюхомицкий, О.Б. Макаревич, О.Ю. Пескова

Суть системы скрытного клавиатурного мониторинга операторов заключается в проведении скрытного анализа клавиатурного почерка работающего оператора и его сравнении с эталоном, предварительно созданным и зарегистрированным для данного оператора.

Проведение скрытного клавиатурного мониторинга операторов автоматизированных информационно-управляющих систем позволяет, в частности, решить следующие задачи:

-       вести непрерывную скрытную аутентификацию операторов;

-       скрытно выявлять операторов совершающих действия, выходящие за рамки их полномочий;

-       скрытно выявлять операторов, совершающих злоупотребления и атаки на автоматизированную систему;

-       скрытно выявлять психофизиологические отклонения операторов от их нормативного поведения в ответственных автоматизированных системах;

-       тестировать (при необходимости скрытно) кандидатов на должность операторов ответственных автоматизированных систем.

После прохождения некоторым оператором штатной процедуры идентификации/аутентификации в системе, личность этого оператора в виде эталона его клавиатурного почерка в данном сеансе работы с системой как бы «закрепляется» за использованным им терминалом. Далее запускается непрерывная (периодическая) скрытная аутентификация идентифицировавшего себя оператора, осуществляющая текущий контроль параметров клавиатурного почерка оператора на данном терминале и сравнение его с эталоном. Это позволяет, например, обнаружить «чужого» оператора, занявшего место «своего» (штатного) оператора, уже после прохождения последним процедуры идентификации/аутентификации в системе. При обнаружении «чужого» может инициализироваться тревожный сигнал или сообщение на терминале администратора системы или приниматься другие адекватные методы реагирования. При наличии в системе эталона этого «чужого» он будет идентифицирован (даже в том случае, если физически успеет покинуть терминал).

Скрытный клавиатурный мониторинг операторов автоматизированных систем позволяет обнаружить и зарегистрировать в журнале аудита действия операторов, совершающих действия, выходящие за рамки их полномочий (запуск определенных приложений, программ, подсистем, серверов, выполнение запросов в базы данных, инициализация каналов связи и т.п.). Аналогичным образом выявляются  действия операторов, совершающих действия, направленные на нарушение информационной безопасности в автоматизированной системе (злоупотребления и атаки). Все указанные действия регистрируются в журнале аудита и с помощью системы клавиатурного мониторинга соотносятся с конкретной личностью оператора.

В ответственных автоматизированных системах, характеризующихся высокой ценой ошибки оператора (авиационные и железнодорожные диспетчерские системы, управляющие системы энергетических,  военных, космических объектов и т.п.) допуск к работе оператора, имеющего какие-либо отклонения психофизиологического состояния от собственной нормы, может привести к серьезным последствиям. Между тем, клавиатурный почерк сильно зависит от психофизиологического состояния человека. Поэтому скрытный клавиатурный мониторинг операторов позволяет на ранних стадиях их работы в системе выявить такие отклонения и принять соответствующие меры для предотвращения возможных аварий и катастроф. Немаловажным является то, что прозрачный контроль за состоянием оператора не травмирует его психически в отличие от различных медико-психологических проверок и тестов.