Говорят, что если тайна становится известной по крайней мере четверым людям, то низведение ее до уровня просто информации — вопрос времени. В современном мире, где данные хранятся в различных информационных системах, верная настройка прав доступа является залогом того, что критичная информация не попадет не в те руки. Решению этой задачи призваны помочь системы управления доступом к данным (Identity Management, IdM).
Начало 2000-х годов ознаменовалось тем, что количество и сложность систем достигло того уровня, что актуализация прав доступа к ним с помощью штатных средств стала делом долгим и трудным, по крайней мере в крупных компаниях. Этим начали пользоваться нечистые на руку сотрудники для реализации разного рода схем, направленных на получение доходов. Постепенно такая практика стала массовой, притом что сами злоумышленники долгое время оставались незамеченными.
И результаты не заставили себя ждать. Так, в США массовый характер приобрели искажения корпоративной отчетности — с целью сохранить бонусы топ-менеджмента даже тогда, когда финансовые показатели компаний не были блестящими. «Подобный скандал произошел с компанией Enron (одна из крупнейших компаний США в сфере энергетики). В результате инвесторы понесли миллиардные убытки», — напоминает генеральный директор ООО «Один АйДиЭм» (1IDM) Роман Федосеев. Данный инцидент был наиболее крупным, но далеко не единственным.
Тогда же остро встала проблема, связанная с тем, что учетные данные уволенных сотрудников продолжают оставаться действующими. Также очень часто администраторы забывали отзывать права доступа у представителей внешних компаний — у подрядчиков, контрагентов, аудиторов, покупателей и заказчиков. В итоге такие учетные данные часто использовали и используют злоумышленники для проникновения в инфраструктуру компаний. Сюда же можно отнести всякого рода технологические учетные записи в разного рода системах и программно-аппаратных комплексах: их либо забывали отключать, либо не меняли пароли, выданные по умолчанию. Такие учетные записи также активно используют злоумышленники. Самым крупным инцидентом, где был применен такой сценарий, стала кража реквизитов более 100 млн платежных карт в результате атаки на американскую розничную сеть TJX в 2008 году.
Также в начале нулевых вскрылась деятельность Генриха Кибера, занимавшего весьма скромный пост в банке LGT Treuhand, который является фактически карманным банком князя Лихтенштейна. Как известно, эта страна — офшорная зона, где до недавнего времени бережно хранили банковскую тайну. Генрих Кибер обнаружил среди тех, кто пользовался услугами банка, личностей, связанных с организованной преступностью, терроризмом и просто налоговых уклонистов. Всего удалось собрать данные о без малого 6 тыс. подозрительных лиц, информацию о которых он продал правоохранительным органам нескольких стран.
Только от налоговой службы ФРГ Кибер получил € 4 млн. Также сотрудники немецкого ведомства организовали эвакуацию ценного информатора из Лихтенштейна. На основе собранных Кибером данных более 600 человек были привлечены к ответственности. Впрочем, от спецслужб ряда других стран, в том числе Испании, Италии, Колумбии, Франции, Генрих Кибер получил не меньше, чем от немецких налоговиков. Данный инцидент вызвал грандиозный международный скандал. Со стороны Лихтенштейна выдвигались обвинения в подрыве суверенитета этого карликового государства.
«Копирование информации — процесс немудреный, но довольно трудоемкий, требующий немалых временных затрат. То, что эти действия Кибера не вызвали никаких подозрений, по меньшей мере странно. Равно как и то, что они не были заблокированы на техническом уровне», — прокомментировал инцидент эксперт международной Ассоциации аудита и контроля информационных систем (Information Systems Audit and Control Association, ISACA) Хендрик Колеманс.
При этом оказалось, что предъявить лицам, по чьей вине Кибер смог совершить свой «подвиг», попросту нечего. Тем более что в то время разграничение прав доступа в инфраструктуре крупной компании с технической точки зрения если и было разрешимой задачей, то только теоретически. Так назрела необходимость в создании решений, которые автоматизировали бы процесс управления правами пользователей в корпоративной сети, — Identity Management (IdM).
Рождение IdM Непосредственным предвестником появления данного класса систем стало принятие американского акта Сарбейнза Оксли (Sarbanes-Oxley Act, SOX) в 2002 году, действие которого распространялось не только на американские компании, но и на все фирмы, чьи ценные бумаги зарегистрированы в США.
«Данный нормативный акт не предъявляет требований к информационной безопасности компаний напрямую, однако содержит целый ряд положений относительно средств внутреннего контроля, целостности значимой финансовой информации, а также возможности аудита, — так оценивает влияние SOX на индустрию Роман Федосеев. — Первые IdM-системы появились именно как инструмент учета, контроля и аудита идентификационных данных пользователей информационных систем и их полномочий в части доступа к финансовым документам».
Руководитель направления Solar inRights ООО «Солар Секьюрити» Дмитрий Бондарь прямо связывает зарождение рынка IdM с необходимостью выполнять требования SOX в области управления идентификацией и доступом к критически важной информации. Правда, по его оценке, реально работающие продукты появились лишь спустя два года, в 2004 году. «Есть заказчики, которые приходят к нам после случившегося инцидента, связанного со злоупотреблениями правами доступа. Это обстоятельство часто является хорошим обоснованием для руководства в пользу внедрения IdM-решений. В целом же к осознанию необходимости автоматизации доступа компании приходят в тот момент, когда контролировать права доступа сотрудников вручную уже не представляется возможным», — так оценивает главные предпосылки к внедрению IdM-систем Дмитрий Бондарь.
Обозреватель Anti-Malware.Ru Александр Хонин описал схему работы IdM: «Система подключается к различным информационным ресурсам компании через коннекторы, и в последующем весь процесс управления учетными данными и правами доступа осуществляется посредством установленной IdM-системы. Как правило, схема реализуется с помощью следующих компонентов: сервер IdM; база данных IdM; коннекторы (для подключения к конечным информационным системам и ресурсам); консоль администратора; консоль различных групп пользователей».
«Фактически IdM-система является дублирующей по отношению к штатным средствам разграничения доступа на уровне СУБД или бизнес-приложения», — говорит руководитель группы информационной безопасности технологического консалтинга Oracle в России и СНГ Андрей Гусаков. Но при этом, по словам эксперта, использование IdM привносит унификацию управления всеми учетными данными, кросс-системное разграничение обязанностей, ведение истории изменений, применение средств самообслуживания (например, для сброса пароля или создания заявки). «Поэтому наличие IdM-системы важно для крупных организаций и для компаний, стремящихся максимально автоматизировать бизнес-процессы», — именно к этому, по мнению Андрея Гусакова, сводится роль типичной IdM-системы.
Такой инструментарий заметно повышает продуктивность работы ИТ-специалистов. «Представьте, что у вас на предприятии используется десять бизнес-систем, каждая со своей логикой управления учетными записями и доступом. И банальные действия по принятию на работу нового сотрудника или его увольнению превращаются в рутинную и долгую процедуру „хождения“ по этим бизнес-системам с целью создать/удалить в них нужных пользователей и их права. Не говоря о том, что по законам жанра человеческий фактор даст о себе знать в полный рост: бывают случаи, когда кто-то что-то забыл отозвать или, наоборот, не предоставил. Условно, если администратор бросит все дела и будет создавать нового пользователя в десяти системах с нужными правами, то он потратит на это пару часов. В таких случаях система IdM/IAM показывает свою эффективность и полезность, ведь с ее помощью эти процессы автоматизируются и проходят по большей части без участия человека, при этом время на выполнение той же операции — несколько секунд», — иллюстрирует преимущества использования IdM коммерческий директор ООО «Аванпост» Александр Санин.
«IDM помогает исключить влияние человеческого фактора и автоматизировать процесс управления доступом и паролями к системам. Она по заданным параметрам меняет пароли доступа к разным информационным системам компании», — дополняет руководитель направления информационной безопасности АО «Бэлл Интегратор» Алексей Майоров.
Руководитель отдела решений информационной безопасности ООО «ФОРС — Центр разработки» Андрей Гридин предупреждает, что когда количество идентификационных данных и механизмов управления ими велико, технические ошибки просто неизбежны. Он напоминает, что администраторам для предоставления доступа требовалось неоднократно выполнять рутинные операции (вводить ФИО, подразделение, должность, логин, права доступа и т. п.), и процесс усугублялся тем, что процедура предоставления доступа могла растягиваться на несколько дней. «А ответ на простой вопрос „к каким системам имеет доступ сотрудник, и с какими правами?“ иногда требовал привлечения специалистов нескольких подразделений», — вспоминает Андрей Гридин.
По оценке начальника отдела систем управления идентификационными данными ООО «Информзащита» Александра Черных, в России практический интерес к IdM-решениям начал появляться примерно спустя пять лет после первых внедрений на Западе. Однако по-настоящему активно процесс внедрения такого рода решений начался совсем недавно, чему способствовал рост их функциональности и появление зрелых продуктов от отечественных поставщиков.
«Если в компании 50 баз данных и 10 тыс. человек, то управление паролями и доступом к ним возможно только в автоматизированном режиме», — делает вывод Алексей Майоров.
От IdM к IGA
К концу нулевых обнаружились недостатки IdM-систем первого поколения. При назначении прав обычно использовалась ролевая модель, но верно определить эти роли не всегда просто. Тем более что на первой волне экономического кризиса компании массово сокращали штаты, и в этих условиях ролевая модель просто ломалась, поскольку обязанности одного уволенного сотрудника часто перераспределялись между другими. А там, где текучка кадров традиционно велика (розничная торговля и банковская сфера), выстраивание ролей становилось и вовсе неразрешимой задачей.
С подобными сложностями столкнулись и российские компании. Это обстоятельство стало главной трудностью в ходе внедрения IdM-системы оператором «ВымпелКом», как отметил на одной из конференций руководивший в то время профильным подразделением компании Дмитрий Устюжанин. Впрочем, сложности не помешали успешно завершить проект. Но во многих других компаниях внедрение часто проваливалось уже на ранних этапах формирования ролевой модели или при попытках применить ее к каким-то системам. Бывало и так, что IdM-система просто не справлялась с теми ролями пользователей, что были разработаны, и все приходилось начинать сначала. В итоге проекты длились, без преувеличения, годами.
«Современные решения способны подстраиваться под потребности заказчиков. С момента появления IdM на рынке мы наблюдали трансформацию систем данного класса в сторону управления идентификацией и правами доступа (Identity and Access Management, IAM), а от IAM — к управлению правами доступа и администрированию (Identity Governance & Administration, IGA)», — так описывает эволюцию систем управления доступом Александр Черных.
К основным новшествам систем нового поколения директор по развитию ООО «Аванпост» Олег Губка относит появление гибких процессов сертификации и ресертификации/аттестации доступа, а также инструментов, позволяющих выявить и устранить конфликты полномочий (это необходимо для обеспечения принципа разделения ответственности, когда один человек не может обладать набором полномочий, позволяющим единолично выполнить критичную для бизнеса операцию, что часто является регуляторным требованием).
Широкое распространение облачных технологий не оказало серьезного влияния на системы управления правами доступа. По мнению Алексея Майорова, защищать облачную базу немного сложнее, но никаких трудозатрат и финансовых затрат это не несет: «Разве только настройки становятся немного специфичнее (например, меняются маршрутизация и IP-адрес). Но это не забота рядового пользователя».
Дмитрий Бондарь считает, что управление пользовательскими правами доступа для размещенной во внешнем облаке системы осуществляется посредством еще одного дополнительного коннектора, и для IdM это по сути просто еще одна информационная система.
Андрей Гридин полагает, что меняется лишь способ управления, и то при условии, что облачное решение предоставляет дополнительные возможности (интерфейс или API) по управлению учетными записями и правами доступа. Андрей Гусаков предупреждает, что необходимо тщательно изучать вопросы, связанные с разграничением ответственности с поставщиком услуги. Однако, по мнению представителя Oracle, с точки зрения пользователя вообще ничего не меняется.
А вот появление новых движков работы с данными специалисты оценивают не столь однозначно. «Инструменты, применяемые в современных IdM-решениях, позволяют благодаря специальным интеграционным модулям наладить взаимодействие практически с любой информационной системой, — полагает Александр Черных. — Исключением здесь могут быть только платформы, используемые для хранения и обработки неструктурированных данных.
В этом случае должны использоваться иные средства защиты — например, базирующиеся на анализе поведения пользователей".
Дмитрий Бондарь более оптимистичен: «Задача управления доступа к информационным ресурсам, таким как папки и документы, стояла перед IdM практически всегда, и она так или иначе решается в рамках проектов: где-то сводится к ролям/профилям, где-то решается через специализированный функционал управления информационными ресурсами».
«К новым движкам работы с данными логично отнести стандарты федеративного и кросс-доменного управления, а также возможность обращения за IdM-услугами через REST-сервисы, работающие по модели распределенной по сети архитектуры. Oracle понимает их важность и обеспечивает возможность работы своих решений с OpenID Connect, OAuth2, HTTP cookies, JWT-based tokens, SAML, SCIM, RESTful APIs и другими стандартными протоколами. Их применение позволяет значительно ускорить процесс внедрения и адаптации новых бизнес-сервисов различными клиентами», — дополняет Андрей Гусаков.
Блестящее будущее По оценкам аналитиков ИБ-рынка, именно сегмент средств управления доступом является одним из самых быстрорастущих на российском рынке. И тому есть несколько причин, среди которых расширение предложения, в том числе от российских вендоров, чьи продукты лучше адаптированы под специфику используемых у нас систем. Например, только отечественные продукты поддерживают системы, работающие поверх СУБД PostgeSQL, а именно этот сервер баз данных популярен в проектах по импортозамещению. Плюс ко всему, использование российских разработок снимает проблему политических рисков, с которыми некоторые организации уже столкнулись.
Традиционно системы управления доступом были ориентированы на рынок крупных компаний, с количеством рабочих мест от 10 тысяч. Но практический интерес к таким системам начал появляться и у предприятий более скромных размеров, а им крупные вендоры ничего предложить не могли. Флагманские продукты были для небольших компаний слишком сложными, дорогими и перегруженными невостребованными функциями. Кроме того, многие зарубежные вендоры не имеют представительств в России и по их продуктам невозможно найти специалистов.
Руководитель дирекции информационных технологий ООО «НТВ-Плюс» Дмитрий Мозжегоров рассказал о проекте по автоматизации процесса управления учетными записями и правами доступа пользователей с использованием платформы 1IDM: «Мы рассматривали несколько вариантов решений — как российских, так и зарубежных разработчиков. Был сформирован ряд ключевых критериев, предъявляемых к IdM-системе, в том числе стоимость владения, скорость внедрения и доступность специалистов по ее доработке и сопровождению. Решение 1IDM в полной мере отвечает всем нашим требованиям: оно разработано на базе отечественной платформы 1С, система гибкая и имеет открытый код, так что в случае отказа от одного подрядчика мы сможем безболезненно передать ее сопровождение другому. И наконец, решение легко интегрируется с системами других поставщиков». По словам Дмитрия Мозжегорова, на реализацию проекта ушло около двух месяцев. «Чуть больше времени потребовалось на внутреннюю коммуникацию — на объяснение особенностей работ и описание преимуществ, которые получат сотрудники службы безопасности и управления кадрами. Сначала мы сформировали единое информационное поле для взаимодействия представителей разных подразделений, затем приступили к выбору подрядчика и технической реализации проекта», — добавил руководитель дирекции «НТВ-Плюс».
С другой стороны, российские продукты часто критикуют за «сырость», сложности с адаптацией под нужды заказчика и проблемы с пресейлом. Именно этими факторами руководитель отдела информационной безопасности банка «ДельтаКредит» Всеслав Соленик объяснил то, что ни один из российских продуктов не смог удовлетворить требованиям в ходе проекта по внедрению IdM-системы в банке. Поэтому в итоге было выбрано зарубежное решение.
«Порой мы видим живой интерес и от совсем некрупных организаций, в штате которых насчитывается 300−500 сотрудников. Связано это в первую очередь с интенсивным изменением ИТ-ландшафта компаний. Чем динамичнее меняется ИТ, тем актуальнее становятся процессы централизованного управления доступом. Все прекрасно это понимают, иначе будет хаос», — отметил Александр Санин.
«Ситуация на российском рынке такова, что конкуренция во всех сферах экономики усиливается, при этом растет уровень цифровизации компаний. Все это на руку производителям IdM-решений и их партнерам. Кроме того, в борьбе за инвестиции деятельность компаний становится более прозрачной, что также увеличивает вероятность роста пользователей IdM», — полагает Роман Федосеев.
Начинает играть свою роль и появление регуляторных требований. «В рамках обеспечения безопасности значимых объектов критической информационной инфраструктуры РФ утвержден приказ ФСТЭК России № 239, где в перечне организационных и технических мер содержатся идентификация и аутентификация, а также управление доступом», — напоминает Александр Черных.
Повысилась и информированность потенциальных заказчиков. «Если сравнивать количество проектов в сфере IdM, реализуемых сейчас и десять лет назад, то их количество увеличилось на порядок. На мой взгляд, этот рост обусловлен популяризацией темы усилиями вендоров. Сейчас компаниям уже не нужно объяснять, что это за системы и для чего они нужны», — уверен Дмитрий Бондарь. Также, по мнению руководителя профильного подразделения «Солар Секьюрити», до сих пор действует эффект отложенного спроса, возникший после снижения бюджетов на острой фазе кризиса в 2014—2016 годах.
По мнению Андрея Гусакова, на российском рынке главным фактором роста спроса на средства управления доступом является повышение зрелости отечественных компаний. Именно ее отсутствие, по оценке Алексея Майорова, было главным тормозом при внедрении такого рода систем. Основной точкой роста представитель «Бэлл Интегратора» считает крупные территориально распределенные компании, прежде всего это банки и телекоммуникационные операторы.
Андрей Гридин полагает, что росту интереса к средствам управления правами доступа способствует то, что они являются источником данных для других систем:
«Например, в системах мониторинга событий информационной безопасности IdM может дополнять события данными о сотруднике, которому принадлежат учетные записи, а при мониторинге инфраструктуры — статистику по изменению количества учетных записей для оценки состава лицензий».