— Как вы оцениваете готовность российского бизнеса к киберугрозам?
— Качество защиты во многом зависит от отрасли и размера организаций. Крупные компании строже следят за своей безопасностью и лучше защищены. У небольших компаний может вообще не быть службы информационной безопасности (ИБ). Компании из сфер, где существуют жесткие требования регуляторов, а также из отраслей, представляющих наибольший интерес для злоумышленников, например банковской, традиционно уделяют вопросам ИБ приоритетное внимание.
В целом общий уровень защищенности хотя и неравномерно, но растет. Активность киберпреступности увеличивается — все чаще в СМИ появляется информация о различных утечках данных, уязвимостях в ПО, целенаправленных атаках. Это способствует настороженности бизнеса в вопросах ИБ.
— Какие основные бреши в информационной безопасности компаний и угрозы вы видите?
— Наиболее часто встречаются три категории угроз: во-первых, связанные с уязвимостями в периметре организации и действиями хакеров в отношении корпоративной сети; во-вторых, относящиеся к действиям внутренних злоумышленников и их работе с информацией компании; в-третьих, риски, связанные с удаленным доступом — аутентификацией, авторизацией, разграничением прав доступа к информационным ресурсам компании.
Наше недавнее исследование показало, что каждая пятая российская компания в 2020 году регистрировала ИБ-инциденты, вызванные нарушениями прав доступа. 46% этих компаний указали на среднюю и высокую критичность выявленных инцидентов.
— В каких случаях эти нарушения являются наиболее критичными?
— Несанкционированный доступ грозит серьезными последствиями — мошенническими действиями с клиентскими данными, нанесением вреда инфраструктуре компании, финансовым и репутационным ущербом. Например, сейчас заметно увеличился спрос на защиту доступа со стороны компаний из медицинской сферы, располагающих массивами данных в том числе о пациентах. Во время пандемии вырос интерес киберпреступников к медицинским организациям и исследовательским центрам, занимающимся разработкой вакцин и лекарств.
Нарушение прав доступа к системам компании, как правило, связано со слабыми паролями и избыточным доступом сотрудников к информации. Хаос в правах доступа, накопление у сотрудников компании излишних прав, несвоевременная блокировка доступа при увольнении приводят к росту ИБ-инцидентов. Ключевая задача — не допустить получения злоумышленником доступа к учетной записи в сети организации, поскольку в этом случае есть множество способов поднять уровень доступа, и тогда действия злоумышленника будут почти не ограниченны.
В целом проблемы управления доступом у организаций практически идентичны, их сложность пропорциональна масштабу организации. Чем крупнее предприятие — чем больше у него филиалов и сотрудников, тем сложнее обеспечить единую систему управления доступом пользователей к информационным системам, но и тем больше она ему необходима.
— В чем преимущества автоматизации управления доступом к информационным системам компании?
— Автоматизация выгодна как организационно, так и финансово. Она сокращает операционные издержки и трудозатраты ИТ— и ИБ-подразделений на выполнение отдельных видов операций. А с точки зрения управления обеспечивает прозрачность картины доступа на уровне всей организации, бесшовность процессов, корректное распределение зон ответственности, снижает количество ручных операций и, соответственно, влияние человеческого фактора, повышает управляемость процессов в компании. С технической точки зрения автоматизация повышает скорость выполнения операций, сокращает время ожидания и снижает влияние пиков нагрузки на пропускную способность ИТ-процессов.
— Возможности автоматизации управления доступом зависят от ИТ-архитектуры в компании?
— Да, от ИТ-архитектуры зависят сложность, длительность и стоимость решения задач автоматизации. Например, если в компании для управления доступом к какой-то части информационных систем используется единый каталог или корпоративная шина, то автоматизировать управление доступом к таким системам будет значительно проще.
Если все информационные системы имеют собственные различные механизмы управления полномочиями и технологические интерфейсы, то процесс их подключения будет сложнее и займет больше времени. Но это вполне окупится возможностью держать доступ в компании под контролем и сдерживать растущие риски несанкционированного доступа.
— Как быть, если ИТ-архитектура разнородная?
— Чем крупнее организация, тем более разнообразный у нее парк ИТ. Кроме того, у организаций, которые на рынке уже не один десяток лет, большое количество так называемых legacy-решений — это информационные системы, разработанные на устаревших технологиях. Зачастую такие системы не имеют технологических интерфейсов для интеграции, могут использовать нереляционные механизмы управления базами данных.
Но даже это не является препятствием при автоматизации процессов управления доступом. Мы можем интегрировать такие системы посредством роботизированных технологий RPA (Robotic Process Automation), которые дают возможность выполнять однотипные повторяющиеся действия, как если бы это делал оператор.
Задача создания единой точки управления правами доступа в организации и автоматизации соответствующих процессов решается централизованными системами управления доступом, или IdM (Identity Management). Этот класс систем у нас уже довольно широко известен и используется в большинстве крупных компаний. Но полноценная система управления доступом — это не только ПО, это и написанные регламенты, и налаженные процессы, и выстроенные модели управления доступом, и настроенные интеграционные механизмы информационных систем, и только потом платформа для автоматизации.
Для проработки такого проекта зачастую требуется консалтинг со стороны: он помогает оценить текущую ситуацию, соизмерить ее со стоящими перед проектом задачами, помочь спланировать соответствующую программу изменений, предложить решения и этапы создания системы, оценить бюджет проекта. Это масштабная задача, более широкая, чем внедрение конкретного решения, но большинство крупных организаций к ней рано или поздно приходят.
— В чем преимущество отечественных решений автоматизации управления доступом?
— Прежде всего в том, что они разрабатывались с учетом особенностей инфраструктуры и процессов российских организаций. У таких решений есть модули для интеграции с отечественными информационными системами. Мы, например, сертифицировали свой модуль интеграции с «1С» у разработчика платформы.
Процессы в российских организациях имеют массу специфики. Иностранные платформы ориентированы на требования compliance, которые в большей степени унифицированы. При этом иностранные производители почти никогда не дорабатывают свои решения под требования отдельных российских компаний, а отечественные в этом смысле более гибки. Мы, например, для поддержки специфических требований наших клиентов реализовали в своей платформе плагинную систему, чтобы обеспечить обновляемость площадок с выходом новых версий. Поэтому отечественные системы управления доступом в целом больше отвечают российским реалиям.
