Управление доступами к информационным системам сегодня влияет на защищенность данных, эффективность бизнес-процессов, скорость работы персонала и устойчивость компаний к киберугрозам. Однако многие начинают наводить порядок в правах пользователей, лишь когда хаотичная раздача полномочий оборачивается проблемами. Почему настройка привилегий для учетных записей важна для современной IT-инфраструктуры и что помогает упорядочить эту сферу, «Ъ-Технологии» разбирался с экспертами группы ЛАНИТ.

От цифровых призраков к рискам безопасности

Проблемы с управлением доступами чаще проявляются не в виде громких инцидентов информационной безопасности, а как повседневные операционные трудности. В крупных организациях при неотлаженной выдаче прав возникает длинная цепочка согласований. «Сотрудники часто подолгу ждут доступ — иногда дни и даже недели, если процесс наделения пользователей полномочиями не выстроен»,— отмечает руководитель отдела «Интеллектуальные платформы» компании «ЛАНИТ-Проекты» Максим Гречнев.

Еще одна проблема — цифровые призраки: учетные записи уволенных или «перемещенных» сотрудников, которые сохраняют доступ из-за отсутствия автоматизации. Это увеличивает нагрузку на службы поддержки и замедляет обработку заявок. «Служба поддержки фактически становится узким местом. Пользователи обращаются с типовыми запросами на выдачу или изменение прав, и администраторам приходится вручную все проверять и согласовывать»,— отмечает ведущий архитектор по информационной безопасности департамента корпоративных систем ЛАНИТ Артем Кабиров.

Задержки напрямую отражаются и на бизнес-процессах. Сотрудник отдела продаж не подготовит предложение без доступа к CRM (платформе для работы с клиентами) или истории взаимодействия с покупателем, а специалист службы поддержки не решит проблему заказчика без технической документации. «Если посчитать количество информационных систем, кадровых изменений и среднее время ожидания доступа, то набегает приличный объем ручного труда. Переведите это в зарплаты сотрудников и получите заметную цифру»,— говорит Максим Гречнев.

Недочеты в разграничении полномочий становятся и точками входа для атак на корпоративную инфраструктуру. «Управление доступами — одно из самых уязвимых мест в инфобезе. Причина чаще всего в проблемах, которые годами копились в IT-инфраструктуре: усложнение систем, ошибки, неотозванные учетные записи бывших сотрудников»,— утверждает руководитель департамента информационной безопасности ЛАНИТ Сергей Третьяк. По его словам, эти «призрачные» аккаунты — готовая лазейка для злоумышленников.

Нередко атаки начинаются именно с компрометации учетных записей. При фишинге или подборе паролей киберпреступники стремятся «войти под логином с расширенными правами». Когда нет порядка в назначении ролей в инфраструктуре, любой рядовой сотрудник может получить административные привилегии, а это критическая уязвимость: злоумышленнику достаточно завладеть такой учетной записью.

Также аккаунты подрядчиков часто сохраняют доступ дольше необходимого, открывая путь во внутренний контур. «Недостаточный контроль за управлением правами доступа может приводить к утечке персональных данных, остановке бизнес-процессов, репутационному ущербу и финансовым потерям. Особенно опасны такие инциденты для субъектов критической информационной инфраструктуры»,— подчеркивает Сергей Третьяк. Требования к разграничению прав и фиксации действий пользователей ужесточаются. «Ответственность бизнеса за ошибки в управлении доступами выросла кратно — и за счет увеличения штрафов, и из-за усиления внимания регуляторов к вопросам политик доступа»,— заключает эксперт.

Для субъектов критической информационной инфраструктуры уже необходимо построение полноценной системы мониторинга действий пользователей.

IDM-решение вместо «ручного диспетчера»

Многие компании сталкиваются с тем, что даже внедрение современных инструментов не наводит порядок в управлении доступами, если бизнес-процессы не описаны. «Один из ключевых этапов внедрения — описание процессов, которые предстоит автоматизировать. Если не ясно, какие роли существуют в компании, кто принимает решения о доступах и как они согласуются, обеспечить программное управление невозможно»,— уверен Максим Гречнев.

По словам экспертов, распространенная ошибка — начинать с запуска технологии, не разобравшись в логике операционной деятельности организации. Поэтому на старте проектов проводят обследование: составляют перечень систем, описывают роли и процедуры. При этом важно помнить, что слишком сложный или бюрократичный порядок согласований неизбежно приводит к обходным путям. «Когда сотрудникам приходится проходить запутанные маршруты подтверждения полномочий или запоминать множество паролей, они начинают искать способы упростить себе жизнь. Например, делятся учетными данными. В итоге это снижает уровень киберзащиты»,— объясняет Артем Кабиров. Эффективное управление доступами должно учитывать и безопасность, и повседневную логику деятельности персонала: учетные записи должны быть активированы для сотрудника сразу после его выхода на работу или при переводе на новую должность.

Когда порядок управления доступами описан и согласован, следующим шагом становится технологическая поддержка. На этом этапе организации внедряют решения класса IDM (Identity Management, управление идентификацией), централизующие контроль за учетными записями. Такие системы выполняют роль единого диспетчерского центра для всего процесса предоставления и изменения доступа.

«Если представить работу диспетчера, то его задача — принять обращение, направить его исполнителю, проконтролировать выполнение и зафиксировать результат. Системы управления доступами работают примерно так же: централизованно принимают заявки, маршрутизируют их на согласование, отслеживают сроки и ведут учет всех операций»,— объясняет Максим Гречнев.

Решения класса IDM позволяют связать доступы с ролью пользователя в организации и автоматически скорректировать права при кадровых изменениях. По словам экспертов, в зрелых моделях большая часть операций может выполняться без участия человека. Это требует интеграции с корпоративными платформами, но позволяет значительно ускорить процессы и уменьшает вероятность кибератак до 25%. «Можно автоматизировать практически весь цикл управления доступами: от подачи заявки до назначения прав в информационных системах. Это делает в разы быстрее предоставление доступа и позволяет заметно снизить влияние человеческого фактора»,— говорит Максим Гречнев.

Меняются и подходы к контролю. От простых списков прав компании переходят к гибким моделям. «Сначала управление строилось на списках доступа, где права назначались каждому пользователю отдельно. Позже появилась политика RBAC, при которой доступ определяется ролью специалиста. Но по мере усложнения инфраструктуры этого стало недостаточно»,— комментирует Сергей Третьяк.

Современные системы используют атрибутные модели управления (ABAC), когда решение о доступе принимается с учетом характеристик пользователя, ресурса и контекста запроса — например, времени, места подключения или типа устройства. Как говорит Сергей Третьяк, развитие этих методов привело к распространению концепции Zero Trust («нулевое доверие»), где ни один аккаунт или устройство не считаются доверенными по умолчанию: «Каждый запрос проходит дополнительную проверку и оценивается с учетом контекста. Это снижает последствия компрометации учетных записей и мешает киберпреступнику перемещаться внутри сети».

Отдельное внимание — привилегированным аккаунтам, среди которых администраторы систем. Для этого применяются решения класса PAM, контролирующие использование таких учетных записей и фиксирующие действия администраторов.

Архитектура доступа: вопрос выбора

Когда компании начинают системно администрировать права пользователей, им приходится выбирать между встроенными механизмами отдельных платформ и централизованной моделью контроля. «Встроенные механизмы управления доступом есть практически в каждой крупной системе. Они хорошо работают внутри конкретного приложения,— продолжает Артем Кабиров.— Но, когда таких IT-решений десятки, их правила доступа начинают жить независимо друг от друга». В этих условиях кадровые изменения приходится вручную отражать сразу в нескольких информационных средах.

Альтернативой становятся внешние системы управления доступами, которые работают поверх корпоративного ПО и задают единые правила. «Такой инструмент выступает как отдельный уровень, независимый от конкретных приложений. Он координирует доступы сразу в нескольких информационных системах»,— продолжает Артем Кабиров.

«Пример — наш продукт Simple IDM с универсальным процессом, подходящим для многих компаний. Это модуль, который централизованно управляет полным жизненным циклом доступа (от заявки до отзыва), автоматически ведет реестр и интегрируется со всеми системами через программные интерфейсы»,— добавляет Максим Гречнев.

Сегодня накопленные знания отечественных вендоров и интеграторов становятся заметным преимуществом: есть готовые инструменты — коннекторы, шаблоны развертывания, команды разработки и сопровождения, которые гибко реагируют на любые изменения рынка. Эксперты отмечают, что заказное внедрение российских систем управления доступом часто оказывается для компаний дешевле, безопаснее и быстрее, чем собственная разработка или попытки поддержания устаревших иностранных аналогов. В результате управление доступами перестает быть набором разрозненных процедур и превращается в контролируемый процесс, который снижает риски, упрощает аудит и ускоряет подключение сотрудников к рабочим системам.

Константин Анохин