Статья

На рынке IDM назревает скачок спроса

Экспертиза RedSys
, Текст: Павел Притула

Почему сегодня так актуальны решения для управления доступом пользователей к корпоративным ресурсам? Не проходит буквально ни одной крупной встречи специалистов по информационной безопасности, где бы не затрагивалась эта тема. Видимо, причина в том, что значительную часть убытков от утечки или утраты важных данных компании несут в результате действий собственных сотрудников. На этот факт обращают внимание и эксперты Redsys.

Компания, в которой вместо настроенной системы управления правами доступа царят хаос и ручное администрирование, получает серьезные риски буквально на ровном месте. Речь идет не только об инсайдерах, ради своей выгоды «сливающих» данные на сторону, но и о беспечных людях, через устройства которых злоумышленники получают доступ к корпоративным ресурсам, и об «обиженных» сотрудниках, при увольнении стирающих или уносящих с собой все данные, до которых могут дотянуться, и т. д.

В условиях кризиса люди становятся беднее, и они чаще готовы переступить черту закона ради денег. Поэтому число инцидентов, связанных с компрометацией чувствительных данных, увеличивается. Следовательно, растет и необходимость в защите от этих рисков. Классический и надежный способ – предоставить каждому минимально необходимый доступ к корпоративным ресурсам и своевременно реагировать на изменения статуса сотрудника. Для этого следует использовать специальное решение класса IDM (Identity Management System).

Если посмотреть с другой стороны, то, несмотря на рост потребности в таких системах, в России реальный спрос на них падает. Эксперты компании Redsys подсчитали, что за год сокращение сегмента IDM составило 30% в рублевом исчислении. Причина все та же – кризис. Сегодня все, по расхожему выражению, «режут косты» в ожидании лучших времен.

Новых проектов в области ИБ/ИТ становится меньше, и далее все зависит от оценки рисков. Когда компания начнет терять данные на более значительную сумму, чем потратила бы на их защиту, тогда и стартует проект. То есть кризис не только принес с собой падение (в данном случае внедрений IDM), но и создал отложенный спрос, который сыграет свою роль в двух случаях: либо когда экономика почувствует облегчение, либо когда дальше терпеть будет невозможно. Причем, что характерно, Redsys не видит никакого падения спроса на поддержку существующих IDM-решений. Компании держатся за те решения, которыми уже владеют – они им нужны.

Что в этой ситуации может сделать поставщик? Он может снизить цены на решения. Западные вендоры предоставляют скидки до 90% на свои лицензии, лишь бы сохранить долю рыночного «пирога». Они тоже ждут окончания кризиса, который резко уменьшил экономическую привлекательность их решений по причине девальвации рубля.

Еще один путь показывают российские интеграторы. Они могут добавить в свой портфель услуг собственное IDM-решение, которое будет соответствовать требованиям госзаказчиков в части импортозамещения и номинироваться в рублях, а не в иностранной валюте. Такой путь выбрала Redsys, у которой до 30% IDM-бизнеса сосредоточено в госсекторе.

По словам директора центра информационной безопасности Redsys Дмитрия Шумилина, «компания занимается IDM-решениями с 2007 года, и к настоящему времени накопила достаточный опыт для создания собственной системы класса IdM (Identity Management). Сейчас над ней ведутся работы в завершающей стадии, и компания рассчитывает на положительный результат.

Современная IDM-система

Что должен учесть разработчик IDM-решения? В первую очередь то, что это должна быть комплексная платформа, рассчитанная на достаточно крупную компанию – мелким она не очень нужна. К сожалению, сегодня решениями такого класса пользуются только 40% российских компаний с числом сотрудников более 1500. Но это же говорит и о потенциале рынка.

Даниил Казаков, директор департамента технологий управления доступом RedSys, раскрывает понятие комплексности: «Раньше IDM-решение представляло собой автоматизированную систему для управления учетными записями и правами доступа. Сегодня это комплексная платформа, которая позволяет полностью систематизировать ИТ-ландшафт в части управления доступом».

По сути, речь идет о том, что на базе IDM можно построить комплексную систему информационной безопасности – если речь не идет о каком-либо специфическом виде бизнеса, конечно. Но здесь начнут активно возражать поставщики других ИБ-решений, готовые делать ландшафт вокруг своих систем, будь то SIEM или DLP. Эксперты Redsys не собираются с ними спорить: Дмитрий Шумилин говорит, что в качестве основы для построения комплексного ландшафта ИБ можно рассматривать любую серьезную систему. Но он считает, что краеугольным камнем все равно является «идентификация пользователя» – Identity. Далее идет «доступ» – Access. И далее, выкладывая такие «кирпичики» слой за слоем, можно построить всю крепость ИБ, в которую войдут и SIEM, и DLP-системы.

Проблемы

Рассмотрим ситуацию, когда автоматизированная система управления идентификацией и доступом отсутствует, а вместо этого администратор работает вручную по запросу.

Существуют реальные примеры, когда администраторы каждый квартал в связи с очередной сдачей отчетности две недели занимались только тем, что составляли таблицы временных прав доступа для сотрудников. В сумме получается два человеко-месяца в год на каждого администратора. Плюс сопутствующие расходы и, что важно, риск ошибки из-за человеческого фактора. После внедрения IDM этот срок сократился до одного часа. По сравнению с тем, что было, задача теперь решается буквально «на лету».

IDM прекрасно справляется с еще одной актуальной проблемой, о которой знают все специалисты, но редкий топ-менеджер уделит ей внимание, да и у администраторов не всегда найдется время. Это – регулярный пересмотр прав доступа. Сотрудники службы ИБ, владельцы ресурсов, руководители подразделений должны время от времени подтверждать актуальные статусы сотрудников.

Бывает, что человек уволился, но его учетную запись «забыли отключить». Или он перевелся в другое подразделение, а за ним сохранили права доступа к ресурсам, положенные ему по прежней должности. Уходя в отпуск или на больничный, сотрудник передает свои логин и пароль коллеге, а после возвращения не считает нужным поменять пароль или сообщить руководству об этом случае. Это абсолютно неправильная практика с точки зрения информационной безопасности, но именно так в реальности и происходит.

IDM-системы позволяют автоматизировать решение таких проблем, в первую очередь за счет внедрения ролевых моделей. У каждого сотрудника есть роль, соответствующая его актуальной должности в компании. И у этой роли есть определенный набор прав. Устроился человек на работу – сразу получает нужные права. Переводится на новое место – старая роль аннулируется, а новая присваивается. Это значительно ускоряет бизнес-процессы, связанные с безопасностью, сокращает время простоя сотрудника в ожидании доступа, а также на порядки снижает риск несанкционированного доступа к ресурсам, на которые он не имеет права.

Роль интегратора

Все это легко только в теории. Реальная жизнь показывает, что 30–40% каждого IDM-проекта – это консалтинг. Почти половина всех человеко-дней интегратора уходит только на разбор бизнес-процессов, на анализ того, что содержится в информационных системах компании, какие ресурсы нужны определенным категориям сотрудников и на построение ролевой модели.

Это значит, что IDM может использоваться и для аудита процессов управления доступа, и для построения адаптивных бизнес-процессов. По сути, консалтинг включает и элементы ВРМ, позволяя заказчику выбрать наиболее оптимальные варианты процессов. А это именно тот дополнительный эффект, в котором сегодня заинтересованы компании: в кризис многие на собственном бюджете увидели, как важно иметь оптимальные бизнес-процессы.

Видео