Полиграф: проблемы найма и информационной безопасности16.01.2024 16:31

74995c702670cd09cd9f93d4fffb206f

Хочу поделиться своим опытом прохождения полиграфа в качестве кандидата, а так же тем какие проблемы я увидел в этом процессе, какие есть пути решения и почему вам оно не нужно. Возможно многим это будет интересно и изучив мой опыт смогут принять более осознанное решение если встанет выбор проходить тестирование или нет.

Началось все как обычно: перед Новым годом очередной сорсер написал мне в телеграм, что есть интересная позиция руководителя небольшой бекенд команды на новый проект. Так как в данный момент я открыт для потенциально интересных предложений мы быстро назначили первое техническое собеседование.

Само собеседование мне скорее понравилось, оно было 1 на 1 сразу с CTO, стандартные вопросы по java в стиле чему равно Integer.valueOf(10) == Integer.valueOf(10);такие модно было спрашивать в 2008 году. Немного задач на ревью кода, немного на sql. Но собеседование затянулось на 2 часа, о чем меня конечно не предупредили, и из-за этого я пропустил рабочую встречу, мелочь, а неприятно. В общем и целом мне показалось, что отвечал отлично, знал все. Так же на этом же собеседовании мне заявили, что необходимо пройти комплекс тестов на интеллект, психологию онлайн и полиграф. Тут бы уже стоило прекратить общение, но в силу того что времени поразмыслить обо всем этом у меня не было, а так же в силу природного любопытства — я согласился.

Тестирование было согласовано на праздничный день в новогодние каникулы, я честно рассчитывал на 40 минут + поездка на другой конец города. Это было очередной моей ошибкой, так как не уточнил детали заранее. Полиграфолог на месте объяснила, что полноценное качественное тестирование может длиться до 4 часов. За 40 минут только при приеме на службу в полицию тестируют.

Сам процесс тестирование мне подробно описали, так же описали принцип работы полиграфа и какие параметры он считывает: их всего три (пульс, дыхание, кожная проводимость). Спросили что еще я знаю про полиграф: я высказал мнение моего родственника который всю жизнь работает психологом в полиции: полиграф это ерунда полная и с этим согласны даже штатные полиграфологи МВД. На что мне ответили что в полиции подход несерьезный, не то что у нас.

Первый этап тестирования без подключения полиграфа: проработка списка вопросов который будет задан впоследствии (этот этап требуется по закону). На любой вопрос можно не отвечать. Кроме того на этом этапе были ряд вопросов которые небыли заданы на самом тестирование: например про заболевания и судимости родственников. Больше всего конечно меня напрягало, что все интервью идет под видеозапись (но об этом позднее).

Второй этап: съем контрольных показателей. На этом этапе нужно несколько минут просто сидеть с закрытыми глазами, потом поиграть в игру: обмани полиграфолога. Выбираешь из колоды случайную карточку с фигурой. Полиграфолог задает вопросы о цвете и форме фигуры. На все вопросы нужно отвечать отрицательно. У меня была забавная ситуация, что изначально я неверно оценил цвет фигуры — она была синяя, а я решил — фиолетовая. Из за этого мои реакции на это вопрос отличались от ожидаемых.

Наконец этап регистрации: Задают вопрос, потом 20 секунд считывают показания. Если в за это время показатели отличались от ожидаемых то тебя просят рассказать о чем ты думал в это время. Например:

— Вы никогда не хотели подзаработать на торговли наркотиками?

— Нет.

— О чем вы сейчас подумали?

— О том что наркоторговля крайне высокорисковый бизнес.

Если на вопрос не удается ответить так, что бы не происходила активная работа воображения, то полиграфолог переформулирует вопрос таким образом что бы на него было проще ответить, например:

— Вы когда либо причиняли вред компании?

— Нет. идут нежелательные скачки мозговой активности. Я вспоминаю все свои косяки за 15 лет.

Далее вопрос переформируется в: Вы когда-либо намеренно причиняли вред компании?

-Нет. Тогда все ок.

Так как претензий по честности моих ответов особых не было — мы уложились в 2 часа из заявленных 4.

После тестирования мы по моей инициативе еще некоторое время поговорили про ответственность полиграфолога и ее подход к хранению данных, тут то я и осознал всю глубину их проблем:

По хранению видеозаписи девушка заявила, что никогда не пересылает эти записи через интернет и не хранит их на компьютере который подключается к интернету. Это конечно похвально, но видимо в уме обывателя кража данных хакером через интернет единственный вариант атаки. Кроме того выяснилось что компьютер на котором проводится тестирование не подключается к интернету никогда кроме случаев отправки результатов по почте и для обновления базы антивирусов, ну ОК.

Видеозаписи хранятся в открытом виде на внешнем жестком диске, который человек хранит в ящике стола или же носит с собой в сумочке, ну ООК.

Результаты тестирования отправляются в открытом виде заказчику по почте. Кроме того согласно закону, срок хранения таких данных минимум 3 года, ну ОООК.

Вообщем зная это можно рассмотреть варианты случайной или умышленной утечки критичных данных. Данных которые могут и будут использованы для шантажа как полиграфолога, так и тестируемых лиц:

  1. Кража жесткого диска: элементарно вырвать сумочку из рук, кража из машины или же сразу из офиса (в офисе я не заметил какой-либо сигнализации, офис на первом этаже жилого здания, на окнах решеток нет, влезть туда минутное дело)

  2. Родственники полиграфолога (например дети подростки) зная содержимое диска могут за карманные деньги продать данные в даркнете.

  3. Другие сотрудники компании могут скопировать данные перед увольнением и продать их позже.

  4. Утечка пароля от почты даст злоумышленникам всю историю тестирования за несколько лет, кроме видео.

  5. Cам полиграфолог может стать жертвой шантажа или подкупа.

  6. Банальная халатность и потеря диска.

  7. Наконец я бы не исключал вариант прослушки офиса, он очевидно довольно слабо от этого защищен.

Поразмыслив над увиденным несколько дней я, в качестве упражнения для ума, составил список требований которые должны выполнятся такими организациями и заказчиками, на случай если мне снова предложат пройти тестирование:

  1. Если видео запись тестирования необходима, то должна применятся схема с ассиметричным шифрованием. Публичный ключ хранится на компьютере, приватный в банковской ячейке.

  2. Установлены четкие правила удаления данных по истечению определенного срока (месяц, 3 месяца) или наступления определенного события (приятие или отклонение оффера)

  3. Результаты тестирования хранятся в зашифрованном виде аналогично видео.

  4. Результаты тестирования передаются через защищенные каналы (одноразовые чаты) без сохранения истории.

  5. Результаты тестирования хранятся у заказчика строго определенное время или до момента принятия или отклонения оффера.

  6. Установлен четкий круг сотрудников заказчика которые имеют доступ к результатам тестирования.

  7. Помещение где проводится тестирования регулярно проверяется на предмет записывающих устройств.

  8. Соблюдение выше описанных ритуалов регулярно проверяется независимой организацией специализирующейся в ИБ.

  9. Риск утечки данных застрахован на разумную сумму (допустим 10 млн рублей)

  10. Компания заказчик оплатит мне один рабочий день вне зависимости от результата (все ж 4 часа плюс дорога)

  11. Опционально, но желательно: данные шифруются вторым публичным ключом принадлежащим независимой организации: страховой компании или нотариусу.

Если вам кажется, что эти правила избыточны или параноидальны, то вероятно вас еще не пытались шантажировать :) Хотя с моей точки зрения соблюдение таких мер вполне разумно и реально, но я так же понимаю, что это кратно увеличит стоимость тестирования и никто и никогда не станет так заморачиваться, во всяком случае пока в законе не будут прописаны аналогичные меры и ответственность.(хотел тут привести здесь ссылку на закон, но выяснил, конкретного действующего закона о тестирование на полиграфе в РФ нет, был законопроект который не прошел в госдуме, так что все регламентируется просто ТК)

Почему вам не нужно проходить тестирование: риски утечки данные и шантажа существуют, но это все же только вероятности. А вот если вы обладаете богатым воображением, то неизбежно вас ждут несколько недель не самых приятных размышлений, как и случилось со мной. Оно того не стоит, поверьте.

Почему компаниям которые нанимает программистов не нужно проводить тестирование: В компании в которой я работаю (не самой престижной и пафосной) мне нужно провести порядка 20 собеседований и в итоге только ОДИН человек выйдет на работу. Если к этому добавить еще и полиграф, то нанять хоть кого-то станет нереально, так как 9 из 10 кандидатов откажутся, и правильно сделают :) Проблема найма сейчас стоит довольно остро.

Как обмануть полиграф? — не исследовал этот вопрос специально, но подозреваю контроля своих реакций можно достичь тренировками с обратной связью. Человек может контролировать дыхание и даже сердцебиение (если есть обратная связь в виде пульсометра). Предполагаю, что если найти знакомого полиграфолога с оборудованием и провести пару десятков сеансов тестирования на которых вы будете смотреть на монитор когда говорите правду и ложь, вы сможете понять что к каким реакциям приводит и научитесь их контролировать до некоторой степени. Очевидно это не сработает с полиграфами которые работаю в паре с МРТ томографами. Как объяснила полиграфолог в России такая техника пока не применяется, ибо очень дорого, но в ЕС и США уже вполне.

Ну и вопрос который неизбежно всплывет в комментариях: Компания заказчик исследования это некая DataUniverse, какое-то ИТ подразделение компании в сфере фармакологии, больше ничего не знаю.

Другой вопрос который будет поднят: Тебе разве есть, что скрывать? Если ты так заворачиваешься — значит есть, а значит не подходишь компании. Я думаю: что всем есть, что скрывать даже если это лежит в рамках закона, есть вещи о которых просто неприятно делиться с незнакомыми людьми.

Мне было бы интересно узнать мнение хабравчан, специалистов по ИБ и полиграфологов (если таковые имеются на хабре): видятся ли вам перечисленные риски и меры защиты обоснованными или же совершенно надуманными.

© Habrahabr.ru