Брешь в IDM – находка для шпиона

Александр Пылаев
Руководитель практики систем идентификации и
контроля доступа к IT-ресурсам, группа “Астерос"

– Отгремевший международный скандал, связанный с именами Мэннинга и Сноудена, на технологическом уровне представляет собой утечку информации и, возможно, превышение полномочий в информационной системе. Может ли, на ваш взгляд, некорректная реализация системы контроля доступа быть одной из причин инцидента?
– Да, конечно, может. Если указанные сотрудники имели доступ к информации, которая, согласно их должностным обязанностям, не была предназначена для их глаз, то это безусловный промах службы ИБ, в ведении которой находился контроль доступа на тот момент. Вообще, избыточные права сотрудников – это одна из ключевых проблем управления доступом, особенно в крупных организациях с большим количеством информационных систем. Представьте себе территориально распределенный бизнес, штат в 2 тыс. человек и централизованную IT-службу, раз в 10 минут получающую запросы от сотрудников, основная масса которых, как правило, просит дать доступ к тем или иным ресурсам. Нередко администратору проще дать чуть больше прав, лишь бы его не засыпали запросами о том, что у кого-то куда-то не хватает прав для доступа.

– Всегда ли инцидент является предпосылкой для внедрения системы идентификации, аутентификации и контроля доступа?
– Не всегда, но часто. Все зависит от того, насколько серьезны последствия произошедшего, или же от того, с какой частотой происходят инциденты. Если последствия "стоят" бизнесу 5 тыс. рублей, а внедрение системы на порядки дороже, то этим точно никто не будет заниматься, это очевидно. Если же предположить, что утечка данных стоила компании, например банку, репутации, то здесь вопрос о цене внедрения практически не стоит. Так или иначе, к любому проекту, в том числе связанному с системой управления доступом, должен быть разумный подход.

– В период экономической рецессии бизнес в основном озабочен вопросом повышения эффективности и сокращения операционных затрат. Могут ли системы контроля доступа как отдельные проекты или же в составе комплексного внедрения способствовать решению этой задачи? Как?
– Могут и сокращают. В практике ключевых игроков рынка IDM, да и ИБ в целом, – обязательная демонстрация клиенту экономической эффективности внедрения системы на примере моделирования "боевой" эксплуатации системы управления доступом. Многие аспекты в данной модели лежат, что называется, на поверхности и легко монетизируются. Например, в больших компаниях время предоставления всех прав доступа для принятого на работу сотрудника составляет до трех недель. В этот период он "простаивает" и не выполняет своих обязанностей должным образом. Умножая потраченное впустую время на стоимость этой штатной единицы для компании, мы получаем сумму убытка в чистом виде. То же самое касается сокращения рутинных операций по предоставлению или изменению прав доступа, времени, потраченного на аудит прав (там, где эта процедура является требованием регулятора), упорядочивание пользовательских лицензий в системе и т.д. До сих пор нередки случаи, когда в рамках предпроектных работ игнорируется этап оценки рисков и монетизации возможных потерь при их реализации. Да, просчитать стоимость утечки достаточно сложно, но, не делая этого, компания или властная структура не отдает себе отчета в том, что последствия могут быть плачевные. Ваш пример со Сноуденом и Мэннингом как раз об этом. Очевидно, что убытки в подобных случаях исчисляются миллионами долларов.

– Развитие мирового рынка систем IDM берет свое начало в 2002–2003-х годах, но до сих пор вопросы управления доступом к IT-ресурсам являются одной из наиболее трудоемких областей автоматизации. Одна из причин – человеческий фактор. С какими сложностями приходится сталкиваться в процессе реализации IDM-проектов?
– Не открою секретов, если скажу, что внедрения сложны как технологически, так и процессно. Проекты пронизывают практически всю организацию – от IT до бизнеса, в работу вовлечено множество сотрудников, от каждого в итоге зависит результат. Давно известно, что люди не любят перемен. Особенно критично они относятся к изменениям, в результате которых контроль и ограничения над ними только усиливаются. Еще одной сложностью на пути реализации IDM-проекта традиционно является недостаточное внимание со стороны непосредственных инвесторов, со стороны заказчика. Задача интеграторов – выстроить партнерские отношения и вести разъяснительную деятельность по проекту на всех уровнях, от руководителей бизнеса до администраторов систем.

– Может ли внедрение IDM вызвать саботаж среди сотрудников? Каковы наиболее эффективные превентивные меры для исключения подобного восприятия новой системы?
– Это, конечно, крайность, но тоже встречается. Как я сказал выше, главное оружие против негатива – это постоянная работа с людьми, фокусирование на преимуществах от внедрения, разъяснения, вовлечение. Никто не любит менять привычные устои, а уж если вы не видите в этом выгоды, то заставить вас очень сложно. От того как мы управляем ожиданиями клиента, зависит в итоге успех проекта. Причем зачастую в гораздо большей степени, чем от самих технологий и решений, которые внедряются.

– Могли бы вы привести пример технологически сложной задачи по внедрению IDM-платформы?
– Сейчас я вижу следующий тренд на рынке: идет процесс слияния и поглощения компаний. Бизнес консолидируется. В результате подобных M&A-альянсов наиболее сложной и трудоемкой задачей (конечно, после объединения корпоративных культур) является как раз сращивание этих активов на технологическом уровне, создание централизованных систем управления, внедрение единых унифицированных бизнес-процессов, регламентов, процедур. Однозначно наиболее сложными проектами сейчас являются как раз те, что возникли после слияния или поглощения. Ведь в данном случае, прибавив один к одному, не всегда получишь два. Чаще всего необходимо с нуля создавать матрицу доступа, учитывающую роли в системе согласно функциональным обязанностям, и внедрять единый процесс управления доступом в масштабе свежеобразованного холдинга. На этом пути можно приобрести хорошую экспертизу, ведь, реализуя IDM-проект в рамках M&A, можно встретить буквально все: разные источники данных, разные промышленные и самописные системы, разные IT-культуры компаний. Это настоящий вызов. Работать над такими проектами очень интересно.

– По некоторым данным, объем российского рынка IDM составляет 0,5% от мирового. Если в США и Европе IDM-решения применяются минимум в 80% бизнеса уровня Enterprise (то есть 4 из 5 Enterprise-компаний применяют подобные решения), то в России этот показатель не достигает и 20%. Более того, средний и малый бизнес в нашей стране и вовсе "не дорос" до инвестиций в управление доступом. На ваш взгляд, почему мы опять в "догоняющем эшелоне" и что может способствовать развитию рынка?
– Мы традиционно по многим направлениям отстаем на 2–4 года, а порой и более. Можно также сослаться на наш менталитет: "Пока гром не грянет…". В информационной безопасности пока более распространена практика расследований, а потому и внедряемые системы нацелены именно на реализацию мероприятий по поиску виновного с целью наложения соответствующих санкций. На развитых рынках уже давно мыслят категориями управления рисками и внедряют системы, которые помогают минимизировать их. К таким системам относятся и IDM. Но мы быстро учимся. Прогресс заметен. Все больше клиентов меняют утилитарное отношение к IT-проектам на более зрелое, когда IT становится частью общей бизнес-стратегии компании и обеспечивает надежную технологическую платформу для функционирования бизнес-процессов. Не ошибусь, если скажу, что смена этой парадигмы произошла в том числе благодаря нашему интеграторскому сообществу.

– Российские и западные системы IDM. Есть ли у нас возможность быть конкурентоспособными в этом сегменте рынка ИБ?
– На текущий момент отечественные решения, конечно, уступают в зрелости западным. Но я вижу, как разработчики инвестируют в системы идентификации, аутентификации и управления доступом, и со временем это даст свои результаты. Не исключаю, что через 3–4 года в аналитических отчетах Gartner мы встретим и наши системы на достойных позициях.

Проникновение этих технологий на наш рынок – всего 20% и только в сегменте Enterprise. Так что перспективы радужные. Самое время засучить рукава.

Комментарий эксперта

Ольга Кокшарова

Директор по маркетингу ООО “Элкомсофт"

В период экономической рецессии неизбежны сокращения рабочих мест и текучка кадров как следствие сокращения затрат компании. В такой ситуации важно не только своевременное предоставление прав доступа к данным новым сотрудникам, но и быстрая передача файлов и баз данных от бывших сотрудников к новым. Правила правилами, но жизненный опыт показывает, что в бесконечном множестве случаев бывшие сотрудники недобросовестно относятся к бывшему работодателю и оставляют рабочие документы с закрытым доступом, унося с собой логины и пароли, порой известные только им. Как следствие, компания не может быстро проводить необходимые операции и бизнес опять же "простаивает".

Обратной стороной медали может быть утечка данных в случае отсутствия грамотной политики безопасности данных. Если доступ был слишком свободный или для защиты данных использовались ненадежные пароли, то обиженный или недобросовестный сотрудник может злоупотребить своим доступом и унести с собой данные или же продолжать пользоваться доступом, если он не был закрыт после его увольнения.

Должен существовать четкий сценарий disaster recovery, включающий описание действий при реальной утере или "забывании" пароля. Сброс пароля пользователя (штатными средствами – администратором – или с помощью специального загрузочного диска), например, может привести к потере доступа к зашифрованным файлам, если в сети не сконфигурирован Recovery Agent. Плюс создание резервных копий данных, регулярный аудит доступа и другие инициативы, предотвращающие утерю данных или доступа к ним.

Такие политики безопасности давно разработаны и регулярно обновляются на Западе, например в том же Национальном институте стандартов и технологий США (NIST), который дает описание механизмов защиты доступа к данным и порядок действий как в штатной ситуации компании, так и в случаях угрозы безопасности.

Кроме того, полезно не только следовать установленным правилам политики безопасности, но и попытаться хоть раз поставить себя на место злоумышленника, чтобы разработать сценарии предупреждения утечки данных на разных уровнях – как внутри компании, так и вне ее. Компьютерные технологии постоянно развиваются и зачастую предлагаемые новейшие средства защиты далеки от совершенства, так как разработчики торопятся выставить их на продажу, благодаря чему у злоумышленников появляются новые более изощренные способы кражи информации.