Рядовой Брэдли Мэннинг, способствовавший крупнейшей в истории США утечке секретной информации, и Эдвард Сноуден, рассказавший о сверхсекретных программах слежки, — еще недавно эти имена не сходили с полос мировых СМИ и эфиров телеканалов. В контексте информационной безопасности, эти две ситуации наглядно показали, что даже спецслужбы государств порой не в силах сохранить свои тайны.
Александр Пылаев, руководитель практики систем идентификации и контроля доступа к ИТ-ресурсам группы «Астерос», рассказывает о возможностях предотвращения утечек информации с помощью решений IDM.
Отгремевший международный скандал, связанный с именами Мэннинга и Сноудена, на технологическом уровне представляет собой утечку информации и, возможно, превышение полномочий в информационной системе. Как на ваш взгляд, может ли некорректная реализация системы контроля доступа быть одной из причин инцидента?
Да, конечно может. Если указанные сотрудники имели доступ к информации, которая, согласно их должностным обязанностям, не была предназначена для их глаз, то это безусловный промах службы информационной безопасности, в ведении которой находился контроль доступа на тот момент. Вообще избыточные права сотрудников — это одна из ключевых проблем управления доступом, особенно в крупных организациях с большим количеством информационных систем. Представьте себе территориально распределенный бизнес, штат в 2 000 человек и централизованную ИТ-службу, раз в 10 минут получающую запросы от сотрудников, основная масса которых, как правило, просит дать доступ к тем или иным ресурсам. Нередко администратору проще дать чуть больше прав, лишь бы его не засыпали запросами о том, что у кого-то куда-то не хватает прав для доступа.
Всегда ли инцидент является предпосылкой для внедрения системы идентификации, аутентификации и контроля доступа?
Не всегда, но часто. Все зависит от того насколько серьёзны последствия произошедшего или же от того, с какой частотой происходят инциденты. Если последствия «стоят» бизнесу 5 тысяч рублей, а внедрение системы на порядки дороже, то этим точно никто не будет заниматься, это очевидно. Если же, предположить, что утечка данных стоила компании, допустим, банку, репутации, то здесь вопроса о цене внедрения практически не стоит. Так или иначе, к любому проекту, в том числе, связанному с системой управления доступом, должен быть разумный подход.
В период экономической рецессии бизнес, в основном, озабочен вопросом повышения эффективности и сокращения операционных затрат. Могут ли системы контроля доступа — как отдельные проекты или же в составе комплексного внедрения — способствовать решению этой задачи? Как?
Могут и сокращают. В практике ключевых игроков рынка IDM, да и ИБ в целом, — обязательная демонстрация клиенту экономической эффективности внедрения системы на примере моделирования «боевой» эксплуатации системы управления доступом. Многие аспекты в данной модели лежат, что называется, на поверхности и легко монетизируются. Например, в больших компаниях время предоставления всех прав доступа для принятого на работу сотрудника составляет до трех недель. В этот период он «простаивает» и не выполняет своих обязанностей должным образом. Умножая потраченное впустую время на стоимость этой штатной единицы для компании, мы получаем сумму убытка в чистом виде. То же самое касается сокращения рутинных операций по предоставлению или изменению прав доступа, времени, потраченного на аудит прав (там, где эта процедура является требованием регулятора), упорядочивание пользовательских лицензий в системе, и т. д. До сих пор нередки случаи, когда в рамках предпроектных работ игнорируется этап оценки рисков и монетизации возможных потерь при их реализации. Да, просчитать стоимость утечки достаточно сложно, но, не делая этого, компания или властная структура не отдает себе отчете в том, что последствия могут быть плачевными. Пример со Сноуденом и Мэннингом как раз об этом. Очевидно, что убытки в подобных случаях исчисляются миллионами долларов.
Развитие мирового рынка систем IDM берет свое начало в 2002-2003-м годах, но до сих пор вопросы управления доступом к ИТ-ресурсам являются одной из наиболее трудоёмких областей автоматизации. Одна из причин — «человеческий фактор». С какими сложностями приходилось сталкиваться вам в процессе реализации IDM-проектов?
Не открою секретов, если скажу, что внедрения сложны как технологически, так и с точки зрения организации процессов. Проекты пронизывают практически всю организацию от ИТ до бизнеса, в работу вовлечено множество сотрудников, от каждого из которых в итоге зависит результат. Давно известно, что люди не любят перемен. Особенно критично они относятся к изменениям, в результате которых контроль и ограничения над ними только усиливаются. Еще одной сложностью на пути реализации IDM-проекта традиционно является недостаточное внимание со стороны непосредственных инвесторов компании-заказчика. Задача интеграторов выстроить партнерские отношения и вести разъяснительную деятельность по проекту на всех уровнях — от руководителей бизнеса до администраторов систем.
Может ли внедрение IDM вызвать саботаж среди сотрудников? Каковы наиболее эффективные превентивные меры для исключения подобного восприятия новой системы?
Это, конечно, крайность, но тоже встречается. Как я сказал выше, главное оружие против негатива — это постоянная работа с людьми, фокусирование на преимуществах от внедрения, разъяснения, вовлечение. Никто не любит менять привычные устои, а уж если вы не видите в этом выгоды, то заставить вас очень сложно. От того как мы управляем ожиданиями клиента, зависит в итоге успех проекта. Причем, зачастую, гораздо в большей степени, чем от самих технологий и решений, которые мы внедряем.
Могли бы вы привести пример технологически сложной задачи по внедрению IDM-платформы?
Сейчас я вижу следующий тренд на рынке: компании объединяются, покупаются, бизнес консолидируется. В результате подобных M&A-альянсов наиболее сложной и трудоёмкой задачей (конечно, после объединения корпоративных культур) является как раз сращивание этих активов на технологическом уровне, создание централизованных систем управления, внедрение единых унифицированных бизнес-процессов, регламентов, процедур. Однозначно наиболее сложными проектами сейчас являются как раз те, что возникли вследствие слияния или поглощения. Ведь в данном случае, прибавив один к одному, не всегда получишь два. Чаще всего необходимо с нуля создавать матрицу доступа, учитывающую роли в системе согласно функциональным обязанностям, и внедрять единый процесс управления доступом в масштабе новообразованного холдинга. На этом пути можно приобрести хорошую экспертизу, ведь реализуя IDM-проект в рамках M&A, можно встретить буквально все: разные источники данных, разные промышленные и самописные системы, разные ИТ-культуры компаний. Это настоящий вызов для таких компаний, как наша. Мы любим такие проекты.
По некоторым данным, объем российского рынка IDM составляет 0,5% от мирового. Если в США и Европе IDM-решения применяются минимум в 80% бизнеса уровня Enterprise (т.е. 4 из 5 Enterprise-компаний применяют подобные решения), то в СНГ этот показатель не достигает и 20%. Более того, средний и малый бизнес в нашей стране и вовсе «не дорос» до инвестиций в управление доступом. Почему мы опять в «догоняющем эшелоне», и что может способствовать развитию рынка?
Мы традиционно по многим направлениям отстаем на 2-4 года, а порой и более. Можно так же сослаться на наш менталитет: «пока гром не грянет…» В информационной безопасности пока более распространена практика расследований, а потому и внедряемые системы нацелены именно на реализацию мероприятий по поиску виновного с целью наложения соответствующих санкций. На развитых рынках уже давно мыслят категориями управления рисками и внедряют системы, которые помогают минимизировать их. К таким системам относятся и IDM. Но мы быстро учимся. Прогресс заметен. Все больше клиентов меняют утилитарное отношение к ИТ-проектам, на более зрелое, когда ИТ становится частью общей бизнес-стратегии компании и обеспечивает надежную технологическую платформу для функционирования бизнес-процессов. Не ошибусь, если скажу, что смена этой парадигмы произошла, в том числе, благодаря нашему, интеграторскому сообществу. Мы нацелены на лучшие практики и стремимся соответствовать международным стандартам в каждом проекте.
Каковы планы «Астерос Информационная безопасность» по развитию практики IDM?
Практика IDM является одной из самых зрелых в «Астерос». Она давно вышла на стабильный уровень прибыльности и эффективности, а рыночный потенциал, как вы сами отметили, огромен. Проникновение этих технологий на наш рынок всего 20% и только в сегменте Enterprise. Так что перспективы радужные. Самое время засучить рукава.
В Украине группа «Астерос» представлена компанией «Астерос Украина».
По материалам Information Security
 |
 |
||||||||||||||||
|
|||||||||||||||||
 |
|||||||||||||||||
      |
|||||||||||||||||
|
|
|
|
|
|
|
||||||||||||||||||
|
Новости ИТ-бизнеса19.04.2024
IDC: ринок смартфонів зростає вже 3-й квартал підряд 19.04.2024 Ворожі хакери почали використовувати новий тип соціальної інженерії для кібератак на ЗСУ 19.04.2024 Дослідження Rakuten Viber: 55% українців негативно реагують на дзвінки з незнайомих номерів 18.04.2024 TikTok оголосив про початок тестування конкурента Instagram 18.04.2024 Україна вперше візьме участь у навчаннях з кібероборони NATO Другие новости Современные решения |
|
|
|
ФорумНаступило время экспериментов (Noname, 08.04.2016 09:45:00)
Укртелеком в 4 раза снижает стоимость звонков на мобильные (СЕргей, 06.04.2016 19:11:59) Укравтодор отмечает дорожные работы и перекрытия на Яндекс.Картах (Noname, 05.04.2016 17:30:44) Яндекс.Карты объявляют конкурс для киевлян (Хтось, 17.02.2016 12:24:08) Информационная безопасность: в поисках совершенной защиты (Лариса Ершова, 09.11.2015 18:39:47) Другие темы |
|
|
||
| ГлавнаяОб изданииКак нас найтиПодписка на газетуПишите намРеклама | ||
 |
