«Избыточные права доступа создают большие проблемы для компании»
Материалы выпуска
ИТ-отрасль ждет притока инвестиций в новом году Рынок «Умная поисковая система ускоряет инновации» Инструменты «Новый год придется праздновать в онлайн-формате» Решения Страна мигрирует на отечественное ПО Решения «Избыточные права доступа создают большие проблемы для компании» Инновации
Инновации
0
Материалы подготовлены редакцией партнерских проектов РБК+.
Материалы выпуска

«Избыточные права доступа создают большие проблемы для компании»

О технологиях контроля прав доступа к цифровой инфраструктуре компаний РБК+ рассказал директор Центра компетенций управления доступом «Ростелеком-Солар» Дмитрий Бондарь.
Фото: пресс-служба

— Массовый переход на удаленную работу и активное использование облачных технологий — дополнительные риски для информационной безопасности бизнеса?

— Пандемия запустила процесс принудительной цифровизации, когда большое количество предприятий и организаций, которые изначально не использовали формат удаленной работы, вынуждены были перейти на него. Как результат — размылся ИТ-периметр организаций. Раньше он был физическим, в пределах офисных и производственных помещений, и для безопасной работы можно было просто контролировать точки входа в информационную систему. Теперь, когда значительная часть сотрудников работает удаленно, периметр становится виртуальным, распределенным. Соответственно, обеспечивать минимально необходимый уровень информационной безопасности становится сложнее. Возникают дополнительные риски и затраты на их сокращение.

— Как компания может повысить свою защищенность  от несанкционированного доступа?

— Прежде всего, необходимо очень внимательно следить за правами доступа. Именно избыточные полномочия являются уязвимостью, которая потенциально может привести к утечке информации и серьезным проблемам.

Система безопасности современного предприятия складывается из множества компонентов: многофакторная аутентификация, защищенные каналы связи, система управления событиями информационной безопасности и многое-многое другое. Но начать следует с того, чтобы, насколько возможно, придерживаться принципа поддержания минимально необходимых полномочий.

Именно исходя из важности этой задачи в новых условиях, «Ростелеком-Солар» в конце октября анонсировал запуск специализированного «Центра компетенций». Наши эксперты имеют многолетний опыт работы в данной области, но центр объединил их в крупнейшую на рынке команду, которая фокусируется именно на проблематике управления правами доступа в организациях.

— Расскажите об основных задачах центра.

— Наша задача — предоставлять госучреждениям и бизнесу надежные системы управления доступом к информационным ресурсам.

Для этого, особенно в больших организациях, требуется достаточно глубокая интеграция в ИТ-ландшафт и процессы заказчика, а следовательно, высокий уровень экспертизы сотрудников. Поэтому мы сделали упор на создание самой многочисленной в отрасли команды специалистов, которая сможет решать как типовые задачи, так и разрабатывать уникальные решения для крупных заказчиков.

На данный момент у нас работает 80 сотрудников, в следующем году их будет уже 120. Это специалисты из разных функциональных областей: аналитика, проектирование, разработка программного обеспечения, тестирование, внедрение и сопровождение. Многие из них — эксперты с опытом работы в отрасли более десяти лет.

Наша технологическая база — платформа Solar inRights. Это система управления правами доступа, вокруг которой мы строим весь портфель, в том числе комплексных решений, который развиваем. Например, в ближайшее время мы планируем интегрировать технологии многофакторной аутентификации, контроля привилегированных пользователей и ряд других.

Под эти задачи «Ростелеком-Солар» выделит свыше 500 млн руб.

— Каковы возможности масштабирования вашей платформы управления доступом?

— Основная функция Solar inRights – автоматизация процессов заказчика: администрирования учетных записей, аудита, сбора оперативной информации о правах доступа, расследования инцидентов.

На крупных предприятиях наша система управляет правами более 100 тыс. сотрудников. Она использует надежные, проверенные подходы, ориентирована на масштабируемость и в то же время достаточно гибка, чтобы отвечать самым разным потребностям наших заказчиков. Система разработана на платформе Java, использует стек импортозамещающих технологий.

— Какими компаниями и в каких отраслях востребованы в том числе автоматизированные системы управления доступом?

— Список наших клиентов, с точки зрения отраслей, достаточно широк: это банки, производственные и нефтяные компании, крупные системообразующие предприятия и госструктуры. Наши флагманские проекты — многолетнее сотрудничество с компанией «Роснефть», внедрение системы управления доступом в концерне «Калашников», в госкорпорации «Росатом».

Осталось мало отраслей, в которых мы еще не работали, поскольку потребность управления доступом достаточно универсальна. Есть некоторые особенности, например, в производственных компаниях обычно большое количество сотрудников не являются пользователями ИТ-системы. Но мы успешно решаем задачи управления доступом в любой инфраструктуре.

— Насколько насыщен данный сегмент рынка?

— Есть заказчики, которые никак не ограничены в выборе российского или иностранного ПО, в этом случае наши конкуренты — глобальные вендоры, например, One Identity. Некоторые заказчики должны выбирать только российское ПО, и таких становится все больше. В этом сегменте мы встречаемся с решениями российских разработчиков, в том числе Avanpost.

В целом конкуренцию на нашем рынке пока нельзя назвать высокой. Но в ближайшее время ситуация может измениться. Принудительная диджитализация, миграция государственных компаний на отечественное ПО стимулируют спрос и появление большого количества небольших вендоров на рынке управления доступом. Но сложный класс систем управления доступом требует значительных инвестиций и высокой экспертизы.

Для выхода на нормальный уровень зрелости, когда продукт уже можно продавать и внедрять, требуется от 500 млн до 1 млрд руб. В зависимости от выбранного класса продукта разработка займет от трех до пяти лет.

— Какие перспективные направления в развитии систем управления доступом сейчас находятся в разработке?

— Общий тренд связан с использованием возможностей искусственного интеллекта (ИИ) в системах управления доступом: такие механизмы используются для аналитики, построения ролевых моделей, составления профиля поведения сотрудников и оценки рисков. Но практических кейсов, которые можно было бы использовать как повторяемое решение, пока нет. Для нашего «Центра компетенций управления доступом» это тоже одно из направлений поиска решений.

В своих проектах мы уже применяем передовые роботозированные алгоритмы RPA (Robotic Process Automation), которые умеют выполнять однотипные повторяющиеся действия и заменяют человека на рутинных задачах. Фактически любые операции, которые можно алгоритмизировать в некоторую повторяющуюся последовательность, можно автоматизировать при помощи RPA. Это открывает большие перспективы: в нашем случае это автоматизация управления доступом к информационным системам, которые либо в силу технических ограничений невозможно интегрировать в основную систему, либо эта разработка слишком дорого стоит.

— В чем еще научный и просветительский интерес центра?

— Мы агрегировали серьезную рыночную экспертизу, и безусловно, нам хочется этими компетенциями поделиться. На данный момент не так много информации на тему управления доступом можно найти на русском языке, а та, что имеется, — крайне неструктурированная. Одна из просветительских задач нашего центра — развивать это направление. Мы запустили блог, посвященный проблематике управления доступом, наши эксперты выступают в формате коротких видеороликов на 2-3 минуты с рассказами о рынке, его задачах, проблемах и путях их решения.

В дальнейшем мы планируем привлекать экспертов со стороны наших заказчиков и партнеров, чтобы все участники рынка могли получить для себя полезную информацию по актуальным вопросам управления доступом.

В следующем году мы также планируем ряд крупных исследований объемов рынка, его трендов и проблематики в целом.