Как утверждают специалисты в области информационной безопасности (ИБ), около 67% киберинцидентов сегодня приходится на внутренние угрозы, причем сотрудники чаще вызывают их не со злым умыслом, а по неосторожности. При этом внешние атаки часто реализуются через контрагентов и подрядчиков, имеющих доступ к периметру компании. Цена ошибки становится выше, если у нарушителя был доступ к критическим данным.
Дилемма для бизнеса
Базовая мера защиты в указанных случаях – регламентированная политика управления доступом, когда в организации используется надежная система аутентификации всех пользователей, а уровень прав варьируется в зависимости от функций и компетенций сотрудника. К сожалению, на практике регламент управления доступом в компаниях может нарушаться ради упрощения и скорости решения бизнес-задач, говорят специалисты.
Они указывают ряд типичных ошибок в области управления доступом, которые увеличивают вероятность успеха злоумышленников при проведении атак. Например, в некоторых организациях допускается использование общих учетных записей. Также избыточный доступ может возникать, если права не отзываются при переводе сотрудника на другую должность или увольнении, или если используется сценарий выдачи прав "как у другого сотрудника". Еще одна проблема – бесконтрольное создание технологических учетных записей, необходимых для функционирования автоматизированных систем.
Таким образом, перед крупными компаниями часто стоит дилемма: нарушение регламента ставит под удар безопасность данных, но его неукоснительное соблюдение грозит простоями и издержками, если, к примеру, новый или переведенный сотрудник не может оперативно приступить к своим обязанностям. Когда в компании свыше тысячи сотрудников, риски становятся еще более осязаемыми, а процесс управления правами доступа слишком ресурсозатратным и неэффективным, чтобы выполнять его вручную.
Автоматизированные системы доступа
Автоматизировать управление учетными записями сотрудников на всех этапах карьерного пути, от найма до увольнения, позволяет внедрение систем класса IdM/IGA (Identity Management/Identity Governance and Administration; системы, обеспечивающие порядок с правами доступа к информационным ресурсам организации). Сегодня российский рынок таких решений активно развивается, в том числе в рамках политики импортозамещения. По оценкам аналитиков, объем отечественного рынка систем управления доступом — 4,2 млрд рублей, IdM-системы занимают долю около 40%.
Системы IdM – это программные решения, которые, с одной стороны, интегрируются с доверенными источниками данных о сотрудниках (кадровыми системами), с другой – с управляемыми информационными системами. Это могут быть инфраструктурные решения, бизнес приложения, веб-сервисы. Например, 1С, офисные программы, облака для обмена файлами, корпоративные мессенджеры и многое другое. В IdM системе происходит оформление заявок, управление и контроль доступа. Как правило, управляют этими процессами сотрудники подразделений ИБ и ИТ, хотя может быть предусмотрено делегирование принятия решения, например, если руководитель может принять более компетентное решение в рамках своего подразделения. В системе запускаются автоматизированные процессы управления доступом в рамках ряда сценариев: прием на работу, перевод по должности и т.д.
В масштабах крупного бизнеса (уровень Enterprise – сложная оргструктура, высокие киберриски, число сотрудников достигает сотен тысяч) система IdM может строиться несколько лет и должна отвечать ряду специфических требований. Об особенностях ее построения рассказывает директор департамента inRights ГК Солар Дмитрий Бондарь.
Много данных и много контролей
Процессы обмена данными между информационными системами, их скорость и время выполнения напрямую зависят от объема данных. В случае крупной компании, если система работает медленно, есть риск, что она не успеет завершить предыдущий цикл синхронизации данных до начала следующего цикла, что мешает поддерживать консистентность данных. Большие объемы данных диктуют высокие требования к времени доступности системы: ограниченные временные рамки для установки обновлений, быстрое восстановление в случае сбоев.
"В очень крупной компании количество процессов, которые происходят в системе, будет огромным: управление ролями, информационными ресурсами, учетными записями, а также, что особенно важно, различные исключительные случаи в рамках этих процессов. Например, есть определенный набор прав доступа для сотрудников подразделения, но для тех, кто постоянно работает удаленно, он чуть отличается от стандартного. Чем больше проект, тем больше будет уникальных правил и нелинейных взаимосвязей", – поясняет специалист.
Следующий фактор – множество различных контролей у сотрудников ИБ и ИТ и проводимых проверок, разнообразие уровней полномочий пользователей. Как правило, регулируются они большим количеством локальных нормативных документов по управлению правами доступа. Если организация состоит из нескольких компаний, то очень часто бывает, что в каждой отдельной структуре эти нормативы свои. Все это должно учитываться при построении IdM системы, чтобы она выполняла задачу автоматизации и контроля исполнения регламентов.
Наконец, масштабный проект – это большое количество заинтересованных сторон, что сказывается на его организационной динамике. На стороне подрядчика тоже нужна большая команда, способная построить слаженное взаимодействие с заказчиком, указывает Бондарь.
Российская специфика
В связи с политикой импортозамещения перемены в сфере ИТ и ИБ происходят очень быстро. Управляемые системы, для которых внедряются IdM-решения, заменяются на новые – отечественного производства. Таким образом, внедрение этого нового ПО происходит параллельно внедрению IdM.
"Отечественные разработчики, как правило, предлагают готовые модули интеграции IdM решения с информационными системами российского производства. Но еще важнее, чтобы функциональные возможности продукта изначально опирались на те особенности российских организаций, которые редко хорошо поддерживаются иностранными решениями", – подчеркивает Бондарь.
Так, для российского бизнеса типичны подача и согласование заявок на доступ, например, по сценарию "доступ как у другого сотрудника", различные вариации замещения и делегирования. Система должна предусматривать менее очевидные варианты кадровых событий, включая перевод через увольнение или перевод между юрлицами. Необходимо учесть формальные требования, например, техническую возможность прикрепления сканов к заявкам. Еще одна российская особенность: когда фактическая структура организации может отличаться от формальной, а значит, и полномочия требуется назначать иначе.
В силу всех этих особенностей, крупнейшие игроки выбирают те продукты класса IdM/IGA, которые учитывают их специфические потребности. Те системные решения, которые помогают разобрать текущие задачи и работают на перспективу, доминируют по количеству интеграций в российском сегменте Enterprise.
"Когда речь идет о масштабах Enterprise, клиенты тщательно готовятся к внедрению, и экспертиза команды подрядчика играет большое значение на всех этапах, особенно в процессе планирования проекта и выбора решения. В каждом проекте большого масштаба требуется в той или иной степени адаптировать функциональные возможности продукта под клиента, поэтому IdM-система должна быть гибкой, должна обновляться без необходимости заново настраивая все расширенные функции", – заключил Бондарь.