Особливості формування профілів кіберзлочинців

Размещено на http://www.allbest.ru/

Особливості формування профілів кіберзлочинців

Яровенко Г.М., Римар В.О., Сумський державний університет

Вступ

Наслідки Четвертої промислової революції не тільки позитивно вплинули на розвиток соціально-економічної сфери у світі, але сприяли й появі такого явища як кіберзлочинність. Тенденції останніх років вказують на її стрімке зростання у всіх сферах суспільного життя країн світу. За даними дослідження Check Point, третя чверть 2022 року відзначилася значним стрибком рівня кібератак на 28% в порівнянні з відповідним періодом попереднього року [5]. Ця тенденція обумовлена не тільки такими факторами, як масова діджиталізація, але й складними суспільно-політичними явищами, які створюють сприятливі умови для ще більшого розгортання злочинності. 2022 рік значною мірою пройшов під впливом російської агресії проти України, що також вплинуло й на рівень кіберзагроз. Вже перші дні вторгнення Росії відзначилися зростанням кількості кібератак на урядовий і військовий сектор України. За даними CPR тільки 27-го лютого загальна кількість атак зросла на 196% [5].

До початку 2022 року світ був значною мірою дестабілізований кризою COVID-19, яка відзначилася суттєвим стрибком кіберзлочинності в першу чергу в сферах освіти та охорони здоров'я. Після швидкого переходу в онлайн, що здійснили освітні заклади у відповідь на пандемію, вони стали вразливими для кіберзлочинів і постійною ціллю для кіберзлочинців [9]. Питання запобігання кібератакам і забезпечення кібербезпеки стоїть як ніколи гостро не тільки для перелічених вище сфер та звичайних користувачів мережі, але й для компаній різного масштабу. З часом змінюється не тільки інтенсивність кіберзлочинів, але і їх характер. Вони набувають більш організованих форм, коли атаки відбуваються сплановано, не поодинокими хакерами, а цілими компаніями, які будують бізнес на цьому та навіть надають свої послуги як сервіс. Зловмисники використовують передові інструменти, такі як штучний інтелект, машинне навчання та роботизацію. Нові технології та їх можливості роблять вже відомі форми атак, наприклад, таких як програми-вимагачі та фішинг, більш поширеними, що значно зменшують їх трудомісткість та собівартість.

Кіберзлочинність, як явище, в сучасних реаліях має епідемічний характер, який набуває стрімкого поширення для різних сфер діяльності та користувачів. Рівень злочинності та складність самих злочинів будуть лише зростати з часом. Тому сьогодні є нагальна потреба у проведенні заходів із забезпечення кібербезпеки. Це вже не примха чи додатковий захід, який проваджується за умови наявності вільних ресурсів, а сувора необхідність, якою не можна нехтувати. Тому виникає багато запитань щодо виявлення різних аспектів кіберзлочинності, які дозволятимуть формувати комплекс превентивних заходів, тобто які б працювали на випередження, базуючись на проактивних підходах та методах запобігання різного роду злочинів. Одним із таких є формування профілів кіберзлочинців, які дозволятимуть відстежувати потенційні їх ознаки та застосовувати методи швидкого реагування на ситуацію.

Виклад основного матеріалу

Протидія кіберзлочинам вимагає багатодисциплінарного підходу, адже вони відбуваються з різних причин. Окрім технічних, є соціально-економічні, політичні, етичні проблеми, неврегульованість державного законодавства та інші. Розробка стратегій боротьби зі злочинною поведінкою у віртуальному просторі вимагає багатостороннього підходу, який би дав можливість відслідковувати не тільки поодиноких хакерів, але й великі кіберзлочинні мережі.

Найбільш популярною практикою в забезпеченні кібербезпеки є побудова системи заходів захисту від вже відомих видів атак. Але такий підхід втрачає свою ефективність в умовах стрімкої діджиталізації, коли темпи виникнення нових типів кіберзлочинів нарощуються так само швидко, як і темпи розвитку технологій та тотального переходу в онлайн. За таких умов забезпечення безпеки вимагає не тільки сучасних знань про потенційні види атак, але й про суб'єктів, які їх безпосередньо здійснюють, або можуть бути зацікавлені в них, або тим чи іншим чином вмотивовані. Захист від кіберзагроз вимагає чіткого розуміння того, хто є потенційними зловмисниками, які їх найімовірніші способи дій, які ресурси вони мають у своєму розпорядженні, які техніки та методи кіберзлочинів вони використають зараз або потенційно у майбутньому. Постає складна задача ідентифікації загроз та суб'єктів, які їх несуть, що передбачає визначення повного контексту, параметрів і змінних, які впливають на здатність ефективно захищатися.

Щоб ідентифікувати кіберзлочинців, відстежити їх цифрові сліди та попередити здійснення ними потенційних кіберзлочинів, потрібно застосувати спеціалізований, узгоджений та ідеографічний підхід. Формування профілю кіберзлочинців є одним із основних підходів, яким має скористатися кіберрозслідувач. Профілювання, як інструмент для боротьби з кіберзлочинністю, практикується у вигляді опису фізичних, інтелектуальних та емоційних характеристик як злочинців, так і потерпілих на основі наявних відомостей про вчинені та зареєстровані злочини. Дана процедура створює основу для аналізу, ідентифікації, моніторингу та судового переслідування правопорушників. Ця техніка включає в себе обширне профілювання даних різних осіб та їх девіантної поведінки, що допомагає в категоризації злочинної діяльності на основі способу дії девіантів, а також класів і прошарків жертв.

В загальному розумінні, профілювання передбачає класифікацію індивідів на основі їх персональних характеристик. При чому, вони можуть бути як сталими, які не змінюються протягом всього життя (наприклад, стать, вік, етнічна приналежність), або ж змінними (різні поведінкові характеристики, звички, образ життя, тощо). Профілювання також може базуватися на навмисних припущеннях, отриманих з досвіду та навчання, зосереджуючись на зібраних даних спостережень за поведінкою злочинців. Наприклад, до визначальних, “маркерних” характеристик поведінки може бути віднесено:

- періодичне відвідування певних Інтернет ресурсів;

- користування певними інструментами та додатками;

- нестандартна та непередбачувана поведінка;

- ведення тіньових розрахунків;

- здійснення готівкових транзакцій.

Однією з основних характеристик кіберзлочинців є наявність як мінімум базових знань того, як працює та як влаштована мережа Інтернет, навичок користування технічним та програмним забезпеченням, оскільки деякі злочини вимагають досить високого рівня технічної підготовки та значних вузькопрофільних знань.

Інша характеристика, властива більшості кіберзлочинців, це неповага до державного законодавства та відсутність відчуття покарання за його порушення. Вони часто вступають в конфронтацію з існуючими законами, тому що знаходять певні недоліки, які дозволяють їм їх порушувати. Також держава може мати дійсно слабку базу, яка не визначає обсяги покарань за кіберзлочини. Окрім цього, кіберзлочинці часто психологічно не сприймають закон через те, що відчувають свою винятковість за рахунок своїх високопрофесійних навичок та інтелекту.

З іншого боку, деякі індивіди нерідко мають викривлене сприйняття Інтернету та умов його використання. Через його віртуальний характер в розумінні таких людей взаємодія у кіберпросторі сприймається як «нереальна», тобто така, що не може нести дійсних загроз в реальному житті. Однією з найбільш помітних концепцій, яка описує перекручене сприйняття віртуального простору, є концепція мінімізації авторитету Сулера (аспект розблокування в Інтернеті), згідно з якою статус людини оцінюється більш складно в онлайн- середовищі, ніж офлайн [14]. Наприклад, розповсюдженим явищем у соціальних мережах є зневажливе ставлення до політиків, якого люди собі не дозволяють в реальному публічному просторі. Такий ефект зрівняння в статусі у віртуальному просторі часто відбувається в тандемі із загальним ігноруванням усталеного соціального порядку, що також часто проявляється у віртуальному просторі.

Наступна характеристика пов'язана з попередньою. Вони часто є людьми з високою схильністю до ризику, яка тільки посилюється відсутністю відчуття реальності процесів у віртуальному просторі. Готовність підвищувати ризик витікає з можливості зробити те, що є забороненим, тобто пережити певного роду емоції; з шансу маніпулювати, домінувати та контролювати когось без безпосереднього фізичного контакту та в умовах анонімності.

В процесі формування профілів кіберзлочинців важливим є визначення їх географічного розташування, яке ще окремо виділяють як географічне профілювання. Тобто географічний профіль створюється з урахуванням місць скоєння окремого злочину або пов'язаних з ним серій злочинів чи підготовчих дій. В цьому процесі використовується різноманітне спеціалізоване програмне забезпечення для картографування злочинів, призначене для допомоги в обчисленні інформації про конкретні місця злочинів та пріоритетні території навколо місць проживання зловмисника. В результаті здійснюється візуалізація, яка може виступати допоміжним засобом при виявленні кіберзлочинців та ідентифікації районів їх підвищеної активності.

Основна проблема географічного профілювання полягає в специфіці віртуального простору, яка значно ускладнює відстеження, знаходження та переслідування кіберзлочинців з урахуванням меж, які накладаються законодавчою системою. Зловмисник може бути далеко від місця скоєння злочину, багато разів змінювати своє розташування та підміняти сліди свого реального фізичного розташування. Тому спеціалізоване програмне забезпечення повинно передбачати потенційні шахрайські заходи кіберзлочинців для мінімізації хибного сліду в їх географічних профілях.

Також окрема увага приділяється визначенню складу мотивації кіберзлочинців. Її часто поділяють на кілька основних напрямків:

- тяга за швидким отриманням матеріальної вигоди;

- бажання позбутись почуття залежності чи обмеженості;

- цікавість та допитливість, відчуття нудьги;

- відчуття задоволеності від здобуття влади;

- потреба у визнанні чи самоствердженні;

- бажання виразити чи вистояти політичні або соціальні інтереси.

Більшість зловмисників мають сильну мотивацію, яка варіюється від простого бажання розважатися до потреби грошей, або емоційних імпульсів, політичних мотивів, психічних порушень. Тому виявлення мотивації є складним та важливим аспектом, як в межах розслідування конкретного кейсу, так і при побудові профілів потенційних кіберзлочинців [13].

На основі аналізу різних видів мотивації до кіберзлочинів відомий спеціаліст в галузі кіберкриміналістики Маркус Роджерс виділив вісім типів зловмисників: новачки, кібер-панки, кодери, хакери старої гвардії, професійні кіберзлочинці, кібертерористи, дрібні злодії, невдоволені/колишні співробітники [12].

Новачки характеризуються обмеженим рівнем технічних навичок та навичок програмування, тому у здійсненні кіберзлочинів вони більше покладаються на вже існуючі набори інструментів. Вони можуть завдати значної шкоди системам, оскільки не в повній мірі розуміють всіх механізмів кібератаки. Їх цілі рідко є конкретизованими, а основним мотивом за часту є прагнення до самоствердження та уваги з боку ЗМІ.

Кібер-панки спроможні створювати власне програмне забезпечення та інструменти для здійснення атак. Вони в достатньому обсязі розуміють атаковані системи. Їх дії є більш пропрацьованими та системними, але мають схожу мотивацію із новачками. Вони самостверджуються, мають схильність вихвалятися своїми подвигами та виражені фінансові інтереси. Кібер-панки часто здійснюють крадіжки номерів кредитних карт, злочини, пов'язані з телекомунікаційними технологіями (наприклад, коли шахраї зловживають преміальними тарифами на телефонні зв'язки, або здійснюють шахрайство з обходом міжмережевого з'єднання).

Кодери мають високі технічні навички, які дають їм можливість писати складні скрипти та створювати автоматизовані інструменти для масових атак, якими потім користуються й інші зловмисники. Вони дуже небезпечні та часом виступають у якості наставників для новачків. Їх здебільшого мотивує почуття влади та домінування.

Хакери старої гвардії здійснюють кібератаки не зі зловмисних причин, а більше з відсутності поваги до конфіденційності та приватності інформації та інтелектуальної власності.

В окрему групу Роджерс виділяє професійних кіберзлочинців, які здійснюють свою діяльність на організованій основі та спеціалізуються на корпоративному шпигунстві. Вони часто добре навчені та мають доступ до сучасних технологій та обладнання. Професійні кіберзлочинці мають високу мотивацію, адже кібератаки є основним їх видом діяльності і джерелом доходів.

Діяльність кібертерористів або інформаційних воїнів спрямована на просування певного політичного порядку або соціальних змін (хактивізм, пропаганда). Такі групи гарно фінансуються з боку зацікавлених сторін. Роджерс відзначає, що після розпаду та реструктуризації колишніх органів розвідок Радянського Союзу спостерігалося підвищення активності кібертероризму. Його значний сплеск також почався одразу після повномасштабного вторгнення Росії в Україну. Це проявилося у вигляді масованих кібератак на державні органи та військово-промисловий комплекс, інформаційних вкидів, пропаганди, та інше.

Також виділяється група зловмисників, які здійснюють злочини всередині компаній. Вони поділяються на дрібних злодіїв та невдоволених/колишніх співробітників.

Дрібні злодії - це співробітники компаній із певним рівнем комп'ютерної грамотності, які користуються її слабкою внутрішньою безпекою та прогалинами в ній. Вони вмотивовані простою жадібністю або необхідністю покривати свої фінансові потреби.

Незадоволені або колишні співробітники були залучені до роботи з технологіями або важливих технологічних та інформаційних ресурсів. Вони створюють найбільшу небезпеку для компанії тоді, коли у них з'являється певне незадоволення, жага помсти, що мотивує їх до незаконного використання дорученої їм інформації або доступів до інформації.

В наукових колах було багато спроб формування профілів кіберзлочинців. Вже відомі підходи до профайлінгу можна розділити на три типи:

- аналіз, орієнтований на людину;

- аналіз, орієнтований на зловмисне програмне забезпечення;

- аналіз, орієнтований на кейси кіберзлочинів.

Підхід, орієнтований на людину, зосереджується на аналізі дій злочинців та їх персональних характеристик (наприклад, аналіз їх публікацій та повідомлень у соціальних мережах).

В свою чергу, аналіз, орієнтований на зловмисне програмне забезпечення, припускає, що аналогічне шкідливе програмне забезпечення може бути розроблене схожими групами хакерів. Цю інформацію отримують в результаті аналізу шкідливого програмного забезпечення, зокрема аналізу архітектури, логіки роботи, конфігурації, записів викликів API, потоків керування та оновлення такого програмного забезпечення, та інше [7].

Аналіз, орієнтований на конкретні випадки кіберзлочинів, застосовується до традиційних кримінальних розслідувань та є систематизованим.

Його перевагою є можливість не тільки формування профілю злочинця, але й визначення мети злочину.

Доцільно будувати профілі зловмисників на основі одного з підходів із комбінуванням його з іншими методами, що дає можливість отримувати більш повний набір характеристик профілів, та в деяких випадках навіть може дати можливість заздалегідь передбачити чи спрогнозувати цілі можливих наступних атак злочинця.

Кримінологічне дослідження особистості кіберзлочинця здійснюється з метою виявлення та оцінки його індивідуальних особливостей, що призвели до вчинення кримінального правопорушення. Вони зазвичай мають кілька загострених рис особистості: імпульсивність, високий рівень агресії, складність передбачення наслідків своїх дій, жорстокість, брехливість, егоїзм, надмірно насичені почуття, важкодоступність для прогнозування поведінки, утримання від соціальної реальності, нездатність дотримання моральних та правових норм, тощо. Наявність вище перелічених характеристик в тих чи інших комбінаціях можуть вказувати на особу, яка несе потенційних ризик здійснення протиправних дій та злочинів різного роду.

Пояснення злочинної поведінки може здійснюватися, виходячи з різних сфер знань. Виділяють три основні підходи до побудови профілів злочинців, це кримінально-розшуковий, клінічний та науково-статистичний підходи [8]. Кожен з них вимагає специфічних вхідних даних, тому їх результати за часту складно застосовувати на практиці для попередження кіберзлочинів.

Кримінальне розслідування значною мірою базується на поєднанні негласних і доказових експертних знань. Такий підхід може нести значний рівень суб'єктивності, когнітивних упереджень і помилкового прийняття рішень.

Основний виклик полягає у розумінні того, як злочинна поведінка проявляється в кіберпросторі та як посилюється із збільшенням доступу до технологій. Теорії злочинності, які використовуються в кримінальних розслідуваннях, мають на меті надавати пояснювальну цінність стосовно злочинної поведінки та інформувати про її психологію. Психологія кіберзлочинності включає в себе великий перелік концепцій та принципів, на базі яких сформовано ряд теорій злочинності: біологічні, маркування, географічні, рутинної діяльності, рис, навчання, психоаналітичні, залежності та збудження, тощо.

Проте застосування теорій злочинності в розслідуванні та запобіганні кіберзлочинності знаходиться під питанням, адже досі достовірно не відомо чи можуть бути валідними згадані кримінальні та психологічні теорії реального світу в умовах віртуального середовища. Досі не відомо, наскільки можливо застосувати усталені теорії в протидії кіберзлочинності.

Розуміння поведінки та характеристик кіберзлочинців може дати змогу слідчим та дослідникам вдосконалювати свої стратегії боротьби із ними та зменшувати поточну статистику кіберзлочинів. В той же час, окремі компанії та організації можуть отримати вигоду від результатів досліджень їх профілів за окремими напрямками. Наприклад, дуже актуальним є питання боротьби зі злочинністю в сфері інтелектуальної власності. Прибутковість деяких видів бізнесу сильно страждає від незаконного використання інтелектуальної власності (наприклад, музична чи кіноіндустрія). Дослідження та формування кіберпрофілів може допомагати таким компаніям впроваджувати заходи безпеки, будувати системи попередження атак, викривати злочинців та цим самим знизити рівень збитків від кібератак в конкретній індустрії.

Існування великого спектру різних видів кіберзлочинів передбачає, що один профіль кіберзлочинця може не обов'язково відповідати профілю іншого щодо двох окремих злочинів. Тому створюється потреба побудови профілів за різними типами кіберзлочинів та сферами, в яких зловмисники здійснюють свою нелегальну діяльність.

Сучасний процес кримінального профілювання кіберзлочинності передбачає два основні підходи. Перший - це дедуктивне профілювання, яке має доказову основу та застосовується для аналізу доказів, зібраних у справі. Дедуктивне профілювання передбачає формування теорій на місці злочину, попереднє висунення гіпотез, здійснення спостережень, збір свідчень, на основі яких відбувається підтвердження або спростування раніше виведених гіпотез вже після арешту кіберзлочинця. Цей вид профілювання є реактивним шляхом вивчення поведінки зловмисника, яка демонструється на місці злочину. Наприклад, профайлер може спробувати зробити висновок про вік, стать або історію дій кіберзлочинця з того, як він або вона поводилися під час скоєння злочину. Криміналістичний профайлінг передбачає ідентифікацію невідомого злочинця за допомогою різних прийомів, включаючи аналіз місця злочину, визначення ознак кримінального правопорушення та характеристика особистості злочинця [3].

Перевага використання дедуктивного профілювання полягає в тому, що цей підхід може враховувати протягом дослідження те, як розвивається поведінка злочинця. Його недоліком є пряма залежність якості результатів від надійності доказів, на яких вона ґрунтується. Цей недолік є характерним для більшості відомих науці підходів. На практиці, в кібербезпеці профілювання злочинців шляхом кримінального розслідування застосовується, здебільшого, як метод виявлення злочинця вже після факту здійснення злочинів, які призвели до значних матеріальних або репутаційних втрат чи відзначились великим витоком приватних даних і значним числом жертв.

Другим підходом є індуктивне (клінічне) профілювання кіберзлочинців, яке базується на розв'язанні поточної справи шляхом виявлення зв'язків, паттернів чи моделей, схожих із раніше розкритими в інших справами. В процесі розслідування застосовується статистичний або порівняльний аналіз для створення огляду характеристик.

Врахування зв'язків між окремими випадками при розслідування кіберзлочинів допомагає зменшити статистику нерозкритих справ. Їх дослідники з'ясовують причини кожної атаки в окремій компанії аж до одного хакера/групи хакерів через їх кіберслід, який вони лишили при здійсненні атак на інші компанії. В справах про кіберзлочини, які стосуються кількох жертв, як правило, можна відслідкувати слід кіберзлочинця, залишений на місці злочину, який може проявлятися при вивченні ряду злочинів в одному контексті [7].

Документування деталей розслідувань на основі кримінального і клінічного підходів є важливим, адже допомагає напрацювати базу детальних знань щодо механізмів і умов здійснення кіберзлочинів, різнопланових характеристик самих злочинців [11]. Всі ці дані можуть в подальшому слугувати основою для побудови моделей ідентифікації та визначення профілів кіберзлочинців із застосуванням статистичного підходу.

На основі всіх видів наявних даних можна побудувати кримінологічні профілі, наприклад, про те, хто може виступати злочинцем, мати намір вчинити злочин, які люди піддаються підвищеному ризику стати жертвою, у яких місцях найімовірніше відбудеться кримінал, тощо [6]. Враховуючи дуже великі обсяги даних, зростає необхідність застосовання сучасних математичних методів для автоматичного пошуку прихованих шаблонів. При цьому перспективні характеристики профілів можуть бути використані як прогнози, що дозволить виявити нові та цікаві моделі в наборах даних.

Також корисним є статистичний підхід. В його основі є робота зі статистичними даними та базами даних, які містять дані про виявлені подібні злочини та кримінальні правопорушення. В ході його здійснення відбувається виявлення зв'язку між інформацією, зафіксованою в статистичних звітах, та характеристиками злочинця. В подальшому ці зв'язки оцінюються та на їх основі можуть будуватися моделі портретів кіберзлочинців, які допомагають ідентифікувати осіб із потенціалом створення кіберзагроз.

Статистичний аналіз характеристик злочинів, їх жертв і правопорушників на першому етапі профілювання злочинців є суто ретроспективним. Відправною точкою можуть бути відомі характеристики правопорушника та інформація з розкритих справ. Коли інформації недостатньо, використовуються непараметричні статистичні дані. Коли є доступною більш глибока інформація, то логістична регресія та байєсівські мережі можуть виявитися корисними в контексті профілювання. Методи регресії, класифікації та кластеризації застосовуються для формування профілів, які містять типові атрибути і форми стереотипного уявлення про правопорушників, підозрюваних, свідків і жертв.

Основною проблемою профілювання кіберзлочинців із використанням статистичного підходу є потреба в великій кількості статистичних даних. Цю умову складно забезпечити, але вона є особливо критичною для якості результатів, тому що статистичне моделювання працює краще і дає надійніші результати на великих масивах даних.

Великі масиви даних вирізняються не тільки за обсягом, але й швидкістю та різноманітністю. Дані можуть збиратися в реальному часі, із застосуванням різних типів і форматів (текст, числа, зображення, відео та звук). При роботі з великими даними застосовуються різні інструменти та технології для їх автоматизованого аналізу, такі як інтелектуальний аналіз, машинне навчання, нейронні мережі та штучний інтелект.

Із розвитком інформаційних технологій з'являються різні технічні підходи та методології для визначення профілів кіберзлочинців та їх жертв. Деякі з них використовують сильну взаємозалежність між користувачами та пристроями для збору даних та інформації про різні суб'єкти віртуальної взаємодії, спираючись на концепцію людського фактору в кібербезпеці. Для прикладу, такі методології можуть спиратися на дані з IoT пристроїв та девайсів, які більш активно використовуються в побуті. При чому розглядається досить широкий спектр пристроїв та засобів активації, різних датчиків та блокаторів [10]. Такі методології можуть використовуватися для опису характеристик набору потенційних підозрюваних під час цифрового розслідування.

Профілювання може активно застосовуватися в боротьбі з інсайдерськими кібератаками. Це відбувається на основі спостережень за поведінкою користувачів внутрішніх інформаційних систем компаній, яка класифікується на нормальну або аномальну. Нормальна поведінка зазвичай ідентифікується в тих моделях, які належать до набору визнаних типових форм поведінки. Аномальну визначають у моделях, які не підпадають під загальновизнаний набір типових форм поведінки. Профілі користувачів з випадками аномальної поведінки визначаються як ризикові. В комбінації з поведінковими можуть аналізуватися і особисті характеристики та дані про співробітників [15].

В таких системах профайлінгу можуть використовувати неконтрольовану мережу глибинного навчання, рекурентну нейронну мережу, або інші типи нейронних мереж, які дозволяють аналізувати журнал активності користувачів для ідентифікації аномальних активностей [1].

Побудова кіберпрофілів пов'язана з характерними проблемами та обмеженнями, серед яких виділяють методологічні, практичні та етичні.

Методологічні проблеми зосереджені на процесі створення або зручності використання профілів і моделей прогнозування. Вони пов'язані зі збором даних і їх підготовкою до процесу профілювання. Якщо ж дані для дослідження доступні, то вони можуть бути з різних джерел і в різних форматах. Тому для подальшого їх використання для автоматизованого аналізу необхідна їх попередня підготовка та обробка.

Найчастіша проблема практичного характеру полягає в тому, що профілі злочинців ніколи не є абсолютними вірними, і являють собою моделі з обмеженою точністю. Навіть досить високоточні моделі можуть видавати хибно-позитивні та хибно-негативні результати при їх застосуванні [4]. Обмежена точність може призвести до неправильних висновків в етичних питаннях, таких як упередження та дискримінація щодо певних груп людей. За таких умов, додаткове завдання полягає в тому, щоб визначити прийнятну точність та дотримуватись її. Ця проблема суттєво ускладнює застосування таких підходів на практиці, тому вимагає вирішення задачі скорочення помилково-позитивних та помилково-негативних тривог при виявленні внутрішніх кіберзагроз.

Інша практична проблема полягає в тому, що профілі мають тенденцію швидко застарівати і це значно зменшує їх ефективність при повторних застосуваннях. Щоб протидіяти проблемі старіння профілів і продовження з ними працювати, дуже важливо їх постійно оновлювати. При цьому, набори даних та інструменти аналізу, які застосовуються при профілюванні, також потребують періодичного перегляду.

На межі моральних або суспільних проблем можуть виникати етичні проблеми при побудові профілів. По-перше, усі набори даних містять помилки, можуть бути некоректними, неповними або навіть упередженими, наприклад, через способи збору даних. Це впливає на точність результатів та нерідко може призвести до етичних проблем щодо рівності, конфіденційності та справедливості. При профайлінгу часто використовуються бази даних правоохоронних органів, які формуються з даних переважно лише підозрюваних, бо закон обмежує збір персональних даних пересічних громадян без вагомих передумов, або ж часто великі об'єми даних збираються по національним меншинам. При пошуку закономірностей на базі таких даних не рідко відбувається хибне виявлення підвищеного рівня злочинної поведінки серед окремих груп.

Поряд із вищеперерахованими проблемами варто відзначити зростаючу потребу в автоматизації процесів побудови кіберпрофілів. Кіберзлочинність стає все більш масовим явищем з величезним спектром проявів, варіацій, типів атак, їх складності, видів злочинів. Все це передбачає суттєве збільшення обсягів інформації та даних, які потребують опрацювання, що не може опрацьовуватися оперативно та ефективно вручну.

Найбільш популярним фреймворком для автоматизації процесу аналізу розслідування за допомогою профілювання злочинів є Система управління судовими доказами (FEMS), яка була запропонована [2]. В її основі знаходиться багатокомпонентна трирівнева структура, яка складається з: рівня логіки; рівня клієнта; рівня даних.

Ядром системи є рівень логіки, який містить коннектор рівня даних, бази метадоказів, правил та заключень. Рівень даних містить загальну базу знань щодо кіберзлочинів, цифрову базу доказів, які збираються і систематизується з кожного кейсу, та журнал розслідувань, в якому фіксуються всі процеси розслідування та записи їх результатів. На рівні інтерфейсу системи відбувається взаємодія розслідувача або спеціаліста з кібербезпеки із нею. Процес аналізу розслідування автоматизований з використанням концепції кінцевих автоматів стану (FSA), де кожен з них зберігає інформацію про минуле. При використанні цього фреймворку розслідувачами кіберзлочинів висувається гіпотеза щодо конкретного сценарію, яка потім перевіряється на зібраній цифровій базі доказів за допомогою автоматизованих процедур кінцевих автоматів стану, загальної бази знань та журналів записів попередніх розслідувань. Дана структура спрямована на спрощення етапу аналізу за допомогою автоматизації, однак її ефективність і можливості застосування зменшуються в нестандартних, специфічних і складних кейсах, для яких ще не напрацьована база знань.

За рахунок складності та формалізації вхідних даних задачі побудови профілів кіберзлочинців, повна її автоматизація є досить проблематичною. Тому ставиться задача принаймні часткової заміни людського фактору. Сьогодні напрямок кіберпрофілювання є мало автоматизованим. Тому існує потреба в розробці відповідних інструментів, які могли б спростити та пришвидшити рутинні процедури розслідування, повисити статистику розкритих кіберзлочинів, більш оперативно реагувати на небезпеки та зосереджуватися на фактичних розслідуваннях та нових й унікальних кейсах.

Автоматизація формування профілів кіберзлочинців та типових кіберзлочинів може допомогти ефективно протистояти складнішим атакам, спричиненим штучним інтелектом та іншими сучасними цифровими технологіями. Компанії повинні застосувати ризик орієнтований підхід до автоматизації системи кібербезпеки та будувати відповідні потужності для забезпечення автоматичної відповіді на потенційні загрози. Автоматизація повинна зосереджуватися на трудомістких видах діяльності, таких як керування ідентифікацією та доступами, скрінінги та звітність. Штучний інтелект і машинне навчання можуть використовуватися для виявлення особливо непередбачуваних і небезпечних джерел загроз, мінливих моделей атак, що допомагає знизити ризик їх появи.

Будь-яка технологія автоматизації розслідувань чи попереджень кіберзлочинів повинна мати практичні застосування в реальному середовищі та випробовуватись на практичних кейсах. Рівень перспектив певної методології не дає гарантії, що вона забезпечить справжню допомогу в щоденній боротьбі та розслідуванні кіберзлочинів. Найкращий рівень її впровадження вимагає урахування факторів зручності використання, надійності, прийнятності, що гарантує легкість стандартизації процедур та можливість створення масштабованої структури, яка могла б застосовуватись в різних компаніях. Наступною, дуже важливою умовою є здатність методології адаптуватися до нових типів загроз, постійно розвивати та уточнювати базу існуючих профілів та оперативно генерувати нові. Інакше вона може дуже швидко вичерпати свій потенціал та бути не придатною для застосування в довгостроковій перспективі.

Висновки

Стрімка діджиталізація та кризові соціально-політичні явища, які відбуваються за останні роки, призводять до значних темпів росту кіберзлочинності та появі нових кіберзагроз. Тому здійснення відповідних заходів, спрямованих на забезпечення кібербезпеки і запобігання кіберзлочинам, стає необхідністю. Постійна поява нових загроз у віртуальному середовищі вимагає підходів, які б давали можливість діяти на випередження та оперативно реагувати на динамічні зміни в середовищі. За таких умов формування профілів кіберзлочинців може бути дуже потужним та ефективним інструментом у дослідженні та протидії кіберзлочинності.

При формуванні профілів кіберзлочинців досліджуються не тільки їх фізичні, інтелектуальні та емоційні характеристики, але й особлива увага приділяється їх поведінковим аспектам та визначенню складу мотивації. Виявлення цих факторів дає змогу не тільки успішно розслідувати злочини чи ідентифікувати потенційних шахраїв, але й в деяких випадках прогнозувати наперед цілі майбутніх атак, що робить результати таких досліджень особливо цінними для здійснення різносторонньо направлених заходів протидії кіберзлочинності.

За останні кілька десятиліть було напрацьовано цілий ряд підходів та методологій профілювання кіберзлочинців. Активно досліджуються та застосовуються методи криміналістичного та клінічного профайлингу, які базуються на традиційних підходах до розслідувань злочинності в реальному світі. Також застосовуються статистичні методи, які передбачають опрацювання великих масивів даних. Для формування профілів кіберзлочинців за наявності великої бази спостережень успішно застосовуються сучасні інструменти та технології автоматизованого аналізу даних, такі як інтелектуальний аналіз, машинне навчання, нейронні мережі та штучний інтелект.

Всі відомі підходи до побудови профілів кіберзлочинців співставляються з рядом методологічних, практичних та навіть етичних проблем. Найбільш гострими є швидке старіння профілів, високі відсотки хибно-позитивних та хибно-негативних результатів, які перешкоджають їх практичному застосуванню в реальному середовищі. Із ростом масштабів кіберзлочинності зростає потреба в автоматизації процесів профілювання кіберзлочинців, що дає можливість швидше та ефективніше розслідувати кейси та більш оперативно реагувати на небезпеки, які виникають у віртуальному просторі.

кіберзлочинець правопорушення профіль

Список використаних джерел

1. Al-Mhiqani M.N., Ahmad R., Zainal Abidin Z., Yassin W., Hassan A., Abdulkareem K.H., Ali N.S., Yunos Z. A Review of Insider Threat Detection: Classification, Machine Learning Techniques, Datasets, Open Challenges, and Recommendations. Applied Sciences. 2020. № 10(15). Article Number: 5208.

2. Arthur K.K., Olivier M.S., Venter H S., Eloff H.P. Considerations Towards a Cyber Crime Profiling System Information and Computer Security Architectures. 2008 Third International Conference on Availability, Reliability and Security. Barcelona, 2008. С. 1388-1393.

3. Brown S.D. Investigating and Prosecuting Cyber Crime: Forensic Dependencies and Barriers to Justice. International Journal of Cyber Criminology. 2015. № 9(1). Р. 55-119.

4. Chifflet P. Questioning the validity of criminal profiling: An evidencebased approach. Journal of Criminology. 2014. № 48(2).

5. Cyber Security Report 2022. Check Point: [Website].

6. Georgiev V. Profiling Human Roles in Cybercrime. Information & Security. 2019. № 43(2). Р. 145-160.

7. Ki Y., Kim E., Kim H.K. A novel approach to detect malware based on api call sequence analysis. International Journal of Distributed Sensor Networks. 2015. № 11(6). Article Number: 659101.

8. Kipane A. Meaning of profiling of cybercriminals in the security context. SHS Web Conf 2019. № 68. Article Number: 01009.

9. Lederer E.M. (2020). Top UN official warns malicious emails on rise in pandemic. AP News: [Website].

10. Nieto A., Rios R. Cybersecurity profiles based on human-centric IoT devices. Human-centric Computing and Information Sciences. 2019. № 9. Article Number: 39.

11. Preuss J., Furnell S., Lea S. Research in progress short paper: The adoption of criminal profiling for computer crime. In EICAR 2004 Conference CD-rom: Best Paper Proceedings. 2004. P. 5-12.

12. Rogers M.K. A two-dimensional circumplex approach to the development of a hacker taxonomy. The International Journal of Digital Forensics & Incident Response. 2006. № 3(2). Р. 97-102.

13. Samuel Ch. Hacker types, motivations and strategies: A comprehensive framework. Computers in Human Behavior Reports. 2022. № 5(2). Article Number: 100167.

14. Suler J. The Online Disinhibition Effect. Cyberpsychology & behavior. 2004. №7(3). Р. 321-326.

15. Udoeyop A.W. Cyber Profiling for Insider Threat Detection: Master's Thesis, University of Tennessee, 2010.

Размещено на Allbest.ru