Разделы

Безопасность Цифровизация ИТ в банках ИТ в госсекторе Импортонезависимость Ритейл Маркет

Юрий Губанов, ГК «РТК-Солар»: Мы создаем лучший клиентский опыт, предоставляя заказчикам технологии и сервис под их задачи

Подходы к управлению доступом цифровыми активами организации должны разрабатываться в соответствии с актуальными тенденциями на рынке кибербезопасности. Ведь он не просто встраивается в общую стратегию защиты информации компании, но и предполагает наличие внутри нее целого комплекса технологий, инструментов и механизмов. Поэтому сегодня на первый план выходят системные решения. О том, как эффективно контролировать в том числе неструктурированные данные, рассказывают эксперты Департамента inRights Центра технологий кибербезопасности ГК «РТК-Солар» Юрий Губанов и Юлия Семенова.

Market.CNews: Какие задачи и проблемы клиентов сейчас актуальны, и как вы помогаете их решать с использованием своих подходов и технологий?

Юрий Губанов: Сегодня все без исключения компании работают с цифровыми данными и в цифровом пространстве. Поэтому одна из ключевых проблем заключается в обеспечении безопасного управления доступом к таким ресурсам с учетом постоянно нарастающих и изменяющихся векторов угроз. Чтобы открывать его только тем сотрудникам, кому он действительно нужен, и минимизировать риски злоупотреблений и ошибок, необходимо использовать передовые подходы к процессам Identity & Access Management. Они помогают контролировать учетные записи пользователей и процессы идентификации.

За долгие годы работы мы накопили уникальную экспертизу в сфере управления доступом и сегодня предлагаем своим клиентам лучшие практики и технологии. Наши продукты полностью импортонезависимы. Так, используемая для автоматизации идентификации пользователей платформа Solar inRights (Identity Management, IdM) разработана в России, внесена в Единый реестр отечественного ПО, сертифицирована ФСТЭК России на соответствие 4-му уровню доверия и может работать на полностью российском или свободном программном обеспечении. PAM-платформа для управления привилегированным доступом Solar SafeInspect (Privilege Access Management) вообще не зависит от типа операционной системы — решение совместимо как с иностранными, так и с отечественным программами. Главные аспекты, на которые мы опираемся в работе с клиентами, — системность и надежность предлагаемых технологий управления доступом.

Юрий Губанов, руководитель отдела развития бизнеса и поддержки продаж Департамента inRights Центра технологий кибербезопасности ГК «РТК-Солар»

Для компаний любого размера стремительный рост предприятия всегда является вызовом — как в плане бизнеса и человеческих ресурсов, так и внедрения технологий, обеспечивающих бесперебойную работу. Новые приложения и системы, разработки и релизы, постоянно меняющаяся инфраструктура — все это требует большого внимания для поддержания ИТ-среды в оптимальном рабочем и безопасном состоянии. Сказанное касается не только технической поддержки и отсутствия сбоев в рабочих процессах, но и защиты ресурсов от любых посягательств со стороны злоумышленников.

Однако в корне неверно рассредоточивать усилия на обеспечении безопасности по разным участкам и системам ИТ-архитектуры с разными требованиями и подходами. Это быстро приведет к хаосу и многочисленным проблемам. Тем более что сейчас практически ни одна компания не работает только лишь внутри своего периметра или офиса со стандартными рабочими местами и закрытой ИТ-средой. Сотрудники могут трудиться дистанционно. Плюс человеческий фактор играет свою роль и продолжает оставаться основным источником рисков. Мы предлагаем унифицированные подходы к управлению доступом и контролю пользователей, чтобы все это многообразие данных и ресурсов держать в поле видимости, сопровождать и актуализировать.

Нами отработаны и технологии, которые упрощают работу организации. За счет высокой автоматизации они способны повысить производительность систем и эффективно интегрироваться в существующую на предприятии инфраструктуру. Еще одно важное для нас направление — предоставление клиенту такого набора технологических инструментов, который поможет ему решить текущие задачи и в то же время будет работать на перспективу. Ведь каждая компания идет по своему пути масштабирования, и большим подспорьем для нее будет партнер, который имеет богатый опыт и серьезную экспертизу, а также широкий портфель продуктов и сервисов в области кибербезопасности.

Market.CNews: Какие ключевые инструменты и функционал помогают выстроить эффективный процесс управления доступом в организации?

Юрий Губанов: В каждой компании есть свои информационные ресурсы: системы, приложения, базы данных. Это объекты доступа. Для работы с ними сотрудникам предоставляются определенные права, люди выступают субъектами доступа. Безусловно, все, что связано со входом в рабочую сеть, должно быть понятным с точки зрения управления и прозрачным для контроля. На первый взгляд все просто. Но, по нашему опыту, этот процесс оказывается гораздо сложнее, поскольку то, что важно здесь и сейчас для одной организации, может совершенно не подходить другой.

Например, ритейлер заинтересован в оперативном назначении прав новым сотрудникам, чтобы они как можно скорее приступали к работе и обслуживанию клиентов. Также ему нужен контекстный доступ, так как работники получают нужные им полномочия в зависимости от определенных условий и того, где они территориально находятся или в какое время работают. Таким компаниям требуются точность и быстрота операционных процессов. А другим, скажем, производителю продукции военного назначения, важно правильно разграничить доступ к конфиденциальной информации, не допустить утечек, исключить возможность взломов и т.п.

Может отличаться не только сфера деятельности, но и степень развития систем управления доступом. Где-то уже зрелые процессы, а кто-то только начинает свой путь в данном направлении.

Таким образом, для одной организации первостепенной может стать автоматизация процессов выдачи, изменения, удаления прав доступа, а также контроля и аудита полномочий. Другая же предпочтет сосредоточиться на защите своих ресурсов и, в частности, проверке пользователей с привилегированным доступом, так как такие точки входа отличаются повышенным риском. А в третьей компании важным будет сочетание первых двух подходов для закрытия целого комплекса задач.

Нашей ключевой технологией является IdM/IGA-платформа по управлению доступом Solar inRights. Она предполагает централизованное управление правами доступа и учетными записями пользователей и позволяет сокращать за счет этого эксплуатационные расходы, снижать риски несанкционированного использования прав, проводить эффективные аудиты на соответствие требованиям и политикам безопасности. Она уже установлена и успешно эксплуатируется на крупных системообразующих предприятиях страны, и мы постоянно работаем над ее модернизацией.

Market.CNews: Если посмотреть в целом на рынок решений по управлению доступом, в чем отличие вашего решения IdM от других? И что вы вкладываете в понятие «развитие платформы Solar inRights»?

Юлия Семенова: Начну со второй части вопроса. Развитие продукта для нас — это ни на минуту не прекращающаяся работа. Она идет по разным направлениям — от расширения функционала и замены старых технологий на более перспективные до повышения надежности и стабильности каждого релиза, оценки его соответствия требованиям регуляторов и, конечно, внедрения процессов безопасной разработки.

Юлия Семенова, руководитель отдела управления правами доступа к информационным ресурсам Департамента inRights Центра технологий кибербезопасности ГК «РТК-Солар»

Действительно, если говорить о технологических возможностях систем такого класса, все вендоры (производители программного обеспечения) так или иначе закрывают основные требования компаний по общим техническим характеристикам. Мы видим это в сравнениях решений от разных поставщиков, в которых и сами участвуем. Сегодня, что бы ни захотел заказчик, все можно реализовать. Мы делаем это достаточно быстро за счет нашей уникальной системы доработок на основе плагинов. Причем обновление системы и получение нового функционала для наших клиентов происходит быстро, удобно и без лишних затрат, без необходимости что-то переустанавливать.

Самое важное, как всегда, кроется в деталях. Когда мы говорим о том, что все уже есть в коробке, это означает, что для настройки нужных функций не потребуются какие-то специфические знания и навыки. При получении полного комплекта его сразу же можно использовать. И это очень важно для людей. Каждый заказчик должен быть уверен, что решение легко настраивается, поддерживается и сопровождается и, главное, его можно развивать и обновлять. Это доказывают наши проекты по развитию и масштабированию таких систем на российских предприятиях.

Market.CNews: Какие потребности текущих заказчиков выявляются при работе над проектами внедрения Solar inRights? Получается ли вам удовлетворять подобные ожидания клиентов?

Юлия Семенова: Мы не просто разрабатываем IdM-решение, а занимаемся его внедрением, поэтому точно знаем, что нужно нашим заказчикам. При формировании дорожной карты развития продукта обязательно учитываем их потребности. Такие запросы систематизируются, обобщаются. Выбираются лучшие варианты их реализации, которые со временем могут включаться как дополнительные функции в уже существующие модули InRights или внедряться в новые. Этот процесс постепенный, требующий глубокого анализа, поэтому задачи в продукте реализуются медленнее, чем в проекте. Но зато удается предусмотреть больше вариантов использования и тем самым удовлетворить потребности клиентов и учесть все нюансы.

Как я уже говорила, это непрерывный процесс. За последний год практически все модули системы претерпели изменения. Потребность управления служебными учетными записями у нас выросла в отдельный полнофункциональный блок — управление технологическими учетными записями (ТУЗами). Оно существовало и ранее, но сейчас ТУЗы являются отдельным типом объекта с предустановленной возможностью управления: создания, изменения, удаления, назначения владельца, изменения атрибутов, просмотра всех изменений в карточке объекта и т. д. Клиент теперь может создавать и менять маршрут согласования таких запросов, контролировать выданные права и многое другое.

Кроме того, мы постоянно работаем над сокращением времени, которое необходимо для внедрения нашей IdM-системы Solar inRights. Как правило, этот процесс занимает больше года. Ускорить его можно за счет модернизации шаблонов. Уже сейчас появилась возможность развернуть решение и, воспользовавшись стандартной конфигурацией, настроить работу с источником кадровых данных, доменной службой и почтовой системой в несколько кликов через встроенный интерфейс.

За прошедший год мы провели глобальный анализ существующих модулей и определили порядок их актуализации или замены на более прогрессивные технологические инструменты для удовлетворения потребностей наших заказчиков. Уже полностью обновлены блоки, обеспечивающие работу внутренних процессов системы и процессов согласования заявок, а для облегчения и ускорения настройки процессов на проектах используется графический конструктор.

Интерфейс решения, а это то, с чем непосредственно контактируют пользователи, теперь работает на прогрессивной библиотеке, которая позволяет конфигурировать систему «на лету».

Рисунок 1. Пример работы с системой Solar inRights на стационарном компьютере. Темная и светлая темы
Рисунок 2. Пример работы с системой Solar inRights на мобильном устройстве

У нас есть очень крупные заказчики с количеством пользователей в несколько сотен тысяч, что диктует определенные требования к производительности нашей системы. Одномоментно может происходить большое количество событий, в том числе асинхронных. Для решения этой задачи мы перешли на прогрессивные методы, которые позволяют реализовать высоконагруженные проекты с сохранением высокой скорости обработки данных, надежности и масштабируемости решения.

Я уже говорила, что у разных компаний свои требования. Но большинству наших клиентов важно, чтобы переход на обновленные версии продукта происходил совершенно бесшовно. Они получают новый функционал без какого-либо негативного воздействия, но при этом всегда замечают положительные внешние изменения системы.

Еще одно важное условие стабильность и надежность работы продукта. Поэтому сейчас в релизный цикл, помимо уже существующих методик, мы включили полноценное нагрузочное тестирование, которое ранее проводилось только по необходимости.

Кстати, говоря про обновление решения, нельзя не упомянуть еще один нюанс. Оно сертифицировано по последним требованиям ФСТЭК России, что позволяет его использовать государственным структурам, к которым предъявляются повышенные требования в части обеспечения безопасности. У нас есть такие клиенты. Чтобы подтвердить соответствие продукта всем требованиям регуляторов в любой момент времени, нами был внедрен процесс оперативной регистрации изменений в органах сертификации.

Еще одной значимой для наших клиентов деталью мы считаем использование процесса безопасной разработки, который сокращает риски потенциальных взломов и инцидентов. В этом нам помогает применение экосистемного подхода, когда решения нашей компании могут дополнять друг друга. Мы используем возможности продукта Solar appScreener для статического и динамического анализа программного кода, что позволяет оперативно исправлять уязвимости. Также проводится работа по их выявлению еще на этапе разработки требований и проектирования, что ускоряет получение результата. Добавляется все больше и больше практик, которые используются не от случая к случаю, а постоянно, и все это контролируется.

Market.CNews: У ваших клиентов есть потребность в таком комплексном предложении?

Юрий Губанов: Если посмотреть на результаты ведущих аналитических компаний в мире в целом и в России в частности, а также на наши собственные исследования (под защитой «PTK-Солар» находится несколько сотен ведущих компаний страны), можно сделать вывод, что организации со зрелыми процессами управления доступом сталкиваются с вдвое меньшим количеством взломов, чем остальные. Одним из признаков такой зрелости является использование интегрированного платформенного подхода к управлению и контролю доступа. И наши клиенты это понимают, как никто другой.

Объединение всех решений в единую экосистему позволяет обеспечить исполнение согласованных политик контроля доступа и добиться операционной эффективности в процессах. Тем самым компания не просто закрывает актуальные задачи на каждом из отдельных участков, но и выстраивает полноценную динамическую защиту в постоянно меняющейся среде. Она готова отразить атаки, поступающие извне, и исключает даже малейшие нарушения внутри периметра. Это комплексная стратегия управления доступом, в которой решения подбираются на основе существующих рисков.

Market.CNews: Что входит в такую экосистему безопасности и по каким принципам она выстраивалась?

Юрий Губанов: Мы всегда исходим из задач клиентов и, как говорила Юлия, выстраиваем с ними долгосрочные партнерские отношения и постоянно получаем обратную связь, на основании которой развиваем наши подходы и технологии.

Большинство организаций использует сейчас гибридную ИТ-модель, когда пользователям требуется доступ к различным ресурсам и веб-приложениям. Это могут быть системы управления предприятием, финансовые и корпоративные решения. Размывание периметра и удаленная работа, так популярная в наше время, создают массу проблем как для ИТ-подразделений, так и для специалистов по информационной безопасности. Наша задача выстроить процессы с одинаково высоким уровнем безопасности, удобства и простоты для конечного потребителя и создать прозрачную и доступную среду для администраторов и контролирующих сотрудников. Наши основные технологические платформы Solar inRights и Solar SafeInspect помогают нам в этом.

Автоматизация назначения и изменения прав доступа, сбор информации обо всех пользователях, включая привилегированных, имеющих доступ на основании кадровых данных, проектов, договоров, распоряжений и т. п., разграничение полномочий и периодический аудит учетных записей для всех категорий сотрудников, постоянный мониторинг, выявление отклонений, консолидированная отчетность и соответствие регламентам, это только часть тех преимуществ, которые получают клиенты в результате использования наших технологических инструментов. Мы хотим дать заказчикам возможность перейти от разрозненных процессов к единому уровню контроля над постоянно увеличивающимся числом юзеров, объемом и разнообразием приложений и данных доступа.

Market.CNews: Управление доступом — это не только передовые технологии, но и экспертиза специалистов, которые эти технологии внедряют. Расскажите, как вы выстраиваете взаимодействие с клиентами в процессе внедрения и после?

Юрий Губанов: Что делает наше предложение уникальным, так это люди, наши эксперты. Мы взяли на себя обязательства укреплять партнерские отношения с клиентами, и 100% нашего рабочего времени посвящаем формированию экспертного и технологического капитала, которым делимся с заказчиками.

Очень часто на практике мы сталкиваемся с ситуацией, когда компания все силы направляет на развитие основного бизнеса, и у нее не хватает собственных ресурсов на то, чтобы детально разобраться в процессах управления доступом. Иногда у занимающихся этим сотрудников нет соответствующего опыта, и решение вопроса откладывается до лучших времен. Накапливаясь, как снежный ком, возможные проблемы обязательно дают о себе знать и начинают тормозить развитие. Если сразу не начать решать задачи и выстраивать процессы, допущенные конструктивные ошибки потом дорого обойдутся. Это может вылиться в увеличение финансовых затрат, снижение прибыли и эффективности работы предприятия и даже в возможные инциденты в сфере информационной безопасности и связанные с ними потери средств и репутации.

Наши эксперты оказывают всесторонние консультационные услуги, проводят оценку текущей ситуации, формируют пошаговый план по выстраиванию правильных процессов, готовят методологию с учетом всех требований, как внутренних, так и регуляторных. Это позволяет правильно оценить потребность в решениях по управлению доступом, спланировать их поэтапное внедрение, исходя из задач и приоритетов конкретной компании.

Отдельно отмечу, что много времени и сил было потрачено для становление квалифицированной службы сервиса в нашей компании. Бытует мнение, что вендоры озабочены только вопросом продажи своих решений. У нас совсем другой подход работаем на перспективу и за это заслужили у заказчиков репутацию надежного поставщика и долгосрочного партнера. Сейчас мы вышли на новый уровень сервисной поддержки. Это касается и технологии управления доступом IdM/IGA (Solar inRights), и продукта по управлению привилегированным доступом PAM (Solar SafeInspect), который мы выпустили не так давно. Эти же принципы будем применять и к нашим новым решениям, которые появятся в продуктовой линейке в ближайшее время.

Такой подход дает нашим клиентам уверенность в завтрашнем дне, гарантию оперативного решения всех возникающих проблем и регулярного обновления технологий на более новые и совершенные версии. Мы серьезно расширили штат сотрудников службы сервиса, и сегодня с нами работают настоящие профессионалы своего дела с глубокой экспертизой и большим опытом внедрений, готовые постоянно быть на связи с заказчиками.

Помимо передачи накопленного нами опыта, мы сами не забываем постоянно учиться и совершенствоваться. Наши коллеги регулярно повышают квалификацию на внутренних и вешних тренингах и применяют на практике новейшие отраслевые методики, технологии и подходы. Мы ведем свой блог, где в рубрике «Наши эксперты» коллеги делятся своими практиками по каждому направлению деятельности.

Market.CNews: Какие вы видите перспективы развития практик и подходов в решении задач по управлению доступом в ближайшие несколько лет? На чем планируете сосредоточиться и почему?

Юрий Губанов: Мы предлагаем комплексный подход к решению задач партнеров и всегда задаем себе вопрос: «Что еще мы можем сделать для наших клиентов?». Исходя из полученного ответа, строим и свою стратегию развития.

Как говорилось ранее, за счет синергии наших компетенций и различных технологических инструментов мы строим единую экосистему эффективного управления доступом и защиты от внутренних и внешних нарушений.

При проведении аудита в различных инфраструктурах наших клиентов всегда видим, что любой сотрудник работает с двумя типами данных — структурированными и неструктурированными. Первые хранятся и обрабатываются в какой-либо информационной системе, например, управления клиентами, предприятием или системе документооборота. Такие приложения включат в себя базы данных, ролевые модели и имеют встроенную функцию защиты.

Неструктурированные данные — это папки и файлы различных форматов, которые хранятся на сетевых дисках и хранилищах, файловых серверах и т. д. Они могут перейти во вторую категорию, если сотрудники их скопируют и перенесут на файловые ресурсы. Например, бухгалтер, работая с отчетом, может выгрузить его на свой компьютер, а потом сохранять доработанные версии в одной из папок на общем диске подразделения. Эти документы могут содержать конфиденциальные данные, дальнейшее распространение и изменение которых будет очень сложно отследить. Не буду говорить, чем опасна подобная утечка информации.

Мы решили и этот вопрос, и уже сейчас у нас готов к выпуску новый продукт класса DCAP (Data-Centric Auditand Protection), который нацелен на задачи категорирования, защиты и контроля неструктурированных данных. При этом интеграция с нашими существующими платформами позволит вывести процессы управления доступом на совершенно новый уровень. Каждая из них может использовать смежный продукт для получения информации, необходимой для принятия решений о правомерности действий пользователей, своевременного реагирования и предотвращения инцидентов, проведения расследований. Такой комплексный подход дает полный контроль над данными и защищает информацию, где бы она ни хранилась и ни обрабатывалась.

Рекламаerid:Kra23cmmmРекламодатель: ООО "РТК ИБ"ИНН/ОГРН: 7704356648/1167746458065Сайт: https://rt-solar.ru/