Андрей Конусов: В России на иностранные системы приходится 70% рынка IDM

Генеральный директор компании «Аванпост» Андрей Конусов поделился с Anti-Malware.ru своим видением ситуации на российском рынке систем IDM. О том, что нужно российским заказчикам IDM , по каким критериям сегодня они выбирают такие системы, каковы сроки окупаемости внедрения — об этом и многом другом читайте в интервью.

Каковы, по вашей оценке, объем российского рынка IDM и темпы его роста?

С поправкой на непрозрачность рынка, затрудняющую его анализ, я оцениваю его объем в 2017г. примерно в 2 млрд. руб. при годовом росте около 20%. На иностранные продукты сегодня приходится около 70%, остальное — на российские разработки. 

Годовая выручка Аванпост по итогам 2017 года превысила 300 млн. руб. Что составляет порядка 50% рынка всех Российских IDM систем, количество которых в 2017 году выросло до пяти. Так что можно уверенно утверждать, что наша компания прочно заняла позиции лидера рынка среди Российских решений.

Также отмечу, что рыночная доля иностранных вендоров с каждым годом сокращается. Сегодня российские владельцы иностранных систем IDM не торопятся переходить на новые версии, зафиксировав их состояние. Более того, некоторые из крупных заказчиков планируют миграцию на российские IDM-продукты. Причина — предпринятые против России санкции, запрещающие иностранным вендорам продавать свои продукты некоторым российским компаниям (а в их число попали крупные структуры). Плюс действующая в стране политика импортозамещения. 

Какими новыми вендорами пополнился в последнее время российский рынок систем IDM?

Как уже было сказано выше, на российском рынке IDM сегодня представлены пять отечественных систем. За пару прошедших лет он пополнился продуктами двух новых игроков: 1IDM и Газинформсервис (ГИС).

Оба решения построены путем адаптации свободного программного обеспечения (СПО) (кстати, одного и того же).

В случае 1IDM, открытое ядро расширено интерфейсом самообслуживания пользователей построенным на платформе 1С:Предприятие. 

На мой взгляд, выбранный опенсорсный движок обеспечивает достаточно развитый функционал. Однако команда  1IDM не обладает на сегодняшний день глубоким пониманием всех его компонентов, что вызывает сложности с настройкой и адаптацией движка. По сути он используются как «черный ящик». Ну а малочисленный коллектив разработчиков не внушает оптимизма в том, что «черный ящик» перестанет быть таковым. Поэтому крупные заказчики, поначалу привлеченные неплохим функционалом и привлекательной стоимостью, остерегаются строить долговременные планы на этот продукт. 

На фоне первого новичка ГИС, безусловно, является гораздо более солидным разработчиком. Пользовательский интерфейс Ankey IDM построен на той же технологической платформе, что и открытое ядро, что создает видимость целостного решения.

В появлении продукта этого разработчика я наблюдаю определенную логику: Газпром, основной заказчик ГИС, проявляет сегодня потребность на горизонте нескольких предстоящих лет заменить используемые в своих структурах решения IDM, на что оперативно откликнулся ГИС со своей новой разработкой. Однако продукт ГИС молодой, с непонятными пока технологическими возможностями и показателями зрелости — ведь лидеры российского рынка IDM отрабатывали свои продукты десять и более лет при количестве разработчиков, исчисляемым многими десятками.

Как новички пытаются отстроиться от сильных конкурентов, давно завоевавших места на российском рынке IDM?

У 1IDM это, в первую очередь, привлекательная цена.

Что касается ГИС, то он известен в нефтегазовой отрасли, у него есть хорошие связи, опыт успешных проектов и административный ресурс в различных структурах Газпрома. Однако непосредственные внутренние заказчики системы IDM, которым с этой системой придется работать, как я вижу, исполнены желанием оглядеться вокруг, понять, что еще предлагает рынок. А альтернативы, в том числе и отечественной разработки, есть, и что важно, коды некоторых из российских продуктов полностью написаны специалистами компаний, которые их продвигают. К таковым, например, относится наш продукт Avanpost IDM — мы знаем его до «последнего винтика».

Что нужно российскому заказчику от системы IDM сегодня?

Сохраняя суть своего функционала как автоматизацию и аудит процесса предоставления доступа, системы IDM развиваются, наращивая аналитические возможности, направленные, в первую очередь, на выявление нарушения правил предоставления доступа, оценку рисков и их компенсацию путем внедрения дополнительных полностью или частично автоматизируемых бизнес-процессов. Так появились системы Identity and Access Management (IAM) а затем и Identity Governance and Administration (IGA), предоставляющие возможность интеллектуальной оценки среды функционирования IDM с целью выявления критических для бизнеса аномалий в предоставлении доступа.

Хотя нужно честно признаться, что к реальному использованию функционала реализованного в системах класса  IGA готовы лишь три-пять процентов российских заказчиков, относящихся к категории компаний с высоким уровнем зрелости. 

Остальные по-прежнему рассматривают IDM как инструмент автоматизации предоставления доступа и минимальных возможностей его контроля. Корпоративным безопасникам, как внутренним заказчикам IDM, пока достаточно аудита прав доступа на соответствие ролевой модели и своевременной блокировки доступа «мертвым душам». 

В то же время, на стадии выбора системы заказчики очень внимательно смотрят на всю полноту функционала, включая и тот, который с высокой вероятностью не будет использоваться в дальнейшем.  Поэтому российским разработкам пока непросто конкурировать с международными лидерами рынка IDM даже внутри страны.

Одного внутреннего заказчика систем IDM Вы у же упомянули. А кто еще сегодня выступает таковым?

Это либо безопасники, либо айтишники. Первым нужны функции контроля и аудита доступа. Вторым — автоматизация управления  доступом. Независимо от того, кто из них оказывается первым в проекте внедрения, в дальнейшем им приходится договариваться между собой, преодолевая нередкие разногласия на почве разделения ответственности за поддержку системы. Поставщику системы IDM нужно учитывать это и налаживать отношения сразу с обеими службами.

Какими характеристиками могут оперировать ИТ- и ИБ-службы, чтобы доказать руководству эффективность IDM системы? Каковы сроки ее окупаемости?

По-крупному эффективность от наведения порядка в вопросах доступа к ИТ-системам достигается в трех основных аспектах. Во-первых, сокращение трудозатрат сотрудников ИТ- и ИБ-подразделений на администрирование и контроль за правами доступа. Что может выразиться в экономии на заработной плате, поскольку решать прежние задачи можно меньшим числом людей. Во-вторых, сокращение времени ожидания сотрудниками бизнес-подразделений предоставления или изменения необходимых им прав доступа. За счет чего сокращаются непроизводственные простои и возрастает производительность. И, наконец, минимизация рисков информационной безопасности.

Однако сделать точный финансовый расчет по этим параметрам бывает сложно, так как, по первому пункту, высвобождение ИТ- и ИБ-персонала, как правило, не приводит к их сокращению, а свободное время сотрудников перераспределяется на другие, давно ждавшие внимания вопросы. И прямая экономия в деньгах не очень заметна для бизнес-руководства компании.

По пункту два тоже есть определенные трудности. Ведь для того чтобы понять, насколько стало лучше, нужно получить достоверные данные начального и конечного состояния. И если показатели скорости предоставления доступа после внедрения рассчитать довольно просто, то вот исходные показатели, до внедрения, оценить трудно, заказчики порой их просто замалчивают, не желая демонстрировать собственную неэффективность. 

Ну а оценка возможных потерь от реализации рисков информационной безопасности — это всегда задача из области теории вероятности, а бизнес-руководство компании всегда может резонно возразить на любые расчеты и выкладки: «А с чего вы взяли, что подобная проблема может у нас произойти, и почему вы даете именно такую оценку потерь от реализации этого риска?»

Тем не менее, мы стараемся собирать статистику для обоснования эффективности.

Например, могу сказать, что в ходе внедрения Avanpost IDM у одного из наших заказчиков сроки ожидания предоставления прав доступа для новых сотрудников сократились с пяти дней до трех часов, а расходы на администрирование доступа были уменьшены вчетверо.

А что можно сказать об операционных расходах на поддержку систем IDM?

Реализованные в IDM возможности identity governance, о которых я упомянул ранее, помогают значительно снизить стоимость владения системой. Так, включение самих пользователей в бизнес-процессы управления доступом значительно сокращает нагрузку на ИТ-службу и одновременно сильно помогает поддерживать права доступа в актуальном состоянии.

Каковы главные критерии, по которым заказчики сегодня выбирают систему IDM?

Прежде всего давайте отделим заказчиков из государственного сектора от заказчиков из сектора частного. 

Для первых сегодня важнейшим стало выполнение требований импортозамещения — система должна быть российской разработки, только после этого они анализируют функционал. 

Для заказчиков из частного бизнеса такого ограничения нет. На первое место выходят функционал системы, компетентность вендора и интегратора, ну и конечно цена. Именно в коммерческом сегменте разворачивается особенно острая конкуренция, т.к. здесь за бюджеты заказчика борются не только российские но и лучшие зарубежные IDM решениям.

Наиболее зрелые из заказчиков настаивают на пилотных внедрениях, причем в довольно масштабной инфраструктурной реализации: тестовая среда должна  включать доменную службу заказчика, его систему кадрового учета, плюс какую-нибудь ИС, не работающую с доменной службой, они требуют поддержки своих бизнес-процессов согласования заявок на предоставление доступа, т. е. практически хотят, чтобы был построен небольшой прототип будущей промышленной системы.

Что касается стоимости, то за последние пару лет у лидирующих на российском рынке систем они заметно выровнялись. Ну а если в начале тендера цены различаются, под давлением заказчика они все равно выравниваются.

По каким параметрам вендоры наиболее остро конкурируют в российских тендерах?

На начальном — это функциональная полнота системы и все-таки цена. На стадии пилотных проектов — это возможности и сроки интеграции в инфраструктуру заказчика. Здесь же выявляется компетентность исполнителя, оперативность и квалификация в процессах поддержки системы.

С какими корпоративными информационными системами (ИС) система IDM интегрируется в первую очередь?

Прежде всего это службы каталогов Active Directory или иные аналогичные доменные службы. Через них производится доступ к подавляющему большинству корпоративных ИС. Затем идут системы кадрового учета, поскольку они поставляют в IDM необходимую для нее информацию. И, наконец, это внутренние системы коммуникации, такие как электронная почта, телефония и т. д.

Конечно, у заказчиков могут оказаться какие-нибудь «экзотические» ИС, отражающие специфику их бизнеса. Для таких ИС приходится писать специальные коннекторы. Кстати, список готовых коннекторов, которыми располагает Avanpost IDM, превышает сегодня полторы сотни. Предоставляемый нами инструментарий SDK помогает заказчикам разрабатывать коннекторы самостоятельно или хотя бы разобраться в том, как IDM будет взаимодействовать с их ИС. Наша нынешняя архитектура коннекторов позволила сократить время на разработку коннекторов к ИС заказчика до 10-15 дней. В особо сложных случаях этот срок может доходить до полутора месяцев.

Какие особенности регулирования сегмента идентификации и аутентификации при доступе к ресурсам вы считаете наиболее чувствительными для него?

Этот сегмент развивался бы в разы быстрее, если бы использование систем IDM было обязательным по закону. В США и Европейских странах, например, есть подзаконные акты, требующие от компаний и организаций, начиная с определенного их масштаба, обязательно иметь системы автоматизации управления правами доступа. Так, к примеру, Sarbanes-Oxley, Gramm-Leach-Bliley и HIPAA, устанавливают ответственность за контроль доступа к информации о клиентах и сотрудниках. По разным источникам, именно Sarbanes-Oxley дал сильный толчок в развитии IDM-систем в США в 2003-2005 годах. Из более свежих законодательных инициатив можно выделить General Data Protection Regulation (GDPR), требующее надежной защиты и контроля доступа пользователей. GDPR регламентирует, чтобы организации охраняли личные данные и конфиденциальность граждан Европейского Союза. Начиная с мая 2018 года, GDPR будет действовать на каждую компанию, которая занимается бизнесом в странах ЕС или имеет европейских граждан в качестве клиентов.

В России пока нет подобных законодательных инициатив. И внедрение систем IDM на уровне законов и стандартов поддерживается пока только рекомендациями, упрощающими аудит на соответствие некоторым требованиям, предъявляемым к кредитно-финансовым организациям и структурам, работающим с международными платежными системами Visa и MasterCard.

Я считаю, что актуальность более четкого регулирования использования систем IDM в нашей стране явно недооценена, поскольку неконтролируемые права доступа являются универсальной уязвимостью высокого уровня.

Anti-malware