Работодатели запутались в правах
Ручная установка доступа к информсистемам создает высокие риски
Газета «Коммерсантъ» №81/П от 17.05.2021, стр. 9
Одной из ключевых причин киберинцидентов в российских компаниях и организациях становятся вопросы с регулированием доступа сотрудников к информационным системам. Помочь решить проблему могут системы автоматического управления доступом, но препятствием к их внедрению остается дороговизна и необходимость индивидуальной разработки под правила конкретной компании, говорят эксперты.
“Ъ” ознакомился с результатами исследования «Ростелеком-Солар» об управлении правами доступа сотрудников в российских государственных и коммерческих организациях к их информационным системам. Согласно опросу, проведенному среди более 200 организаций, в 2020 году 20% из них столкнулись с инцидентами в области информбезопасности, которые были связаны с правами доступа сотрудников. При этом 46% компаний указали на среднюю и высокую критичность инцидентов.
Уровень доступа к информсистемам у разных специалистов в компаниях отличается, при ручной установке возможны ситуации, когда сотрудник получает избыточные права или, например, сохраняет их в течение какого-то времени после увольнения. Все это создает дополнительные возможности для мошенников.
«С течением времени и модернизацией инфраструктуры необходимость использования некоторых аккаунтов пропадает, сисадмины про них забывают и не удаляют, а между тем они могут иметь легкие пароли и состоять в привилегированных группах. Хакеры такой лакомый кусок не пропустят»,— предупреждает глава департамента аудита информационной безопасности Infosecurity a Softline Company Сергей Ненахов. По его словам, отдельно статистику по такому типу уязвимостей обычно не считают.
Ни у одной из опрошенных российских организаций нет полной автоматизации управления правами доступа, говорится в исследовании. Более половины опрошенных высказали «полную неудовлетворенность» либо «среднюю удовлетворенность» существующей в компании системой. Больше недовольны используемыми решениями и подходами представители частных компаний — 58% по сравнению с 52% в государственных организациях.
Руководитель направления по управлению доступом Центра прикладных систем безопасности «Инфосистемы Джет» Татьяна Лабеева поясняет, что затраты на разработку и внедрение автоматизированной системы доступа «несопоставимы с выгодами от ее внедрения». По данным «Инфосистемы Джет», в России в 2014–2018 годах было реализовано всего лишь 99 IDM-проектов (проекты систем управления доступа), что, тем не менее, вдвое больше, чем в 2009–2013 годах. Точных оценок этого сегмента в деньгах, по словам госпожи Лабеевой, не проводилось.
Не только в России, но и в мире почти нет компаний, в которых процесс управления правами доступа автоматизирован полностью, говорит ведущий эксперт направления «Информационная безопасность» «Крок» Александр Черныхов. Это общая проблема, согласен эксперт по информационной безопасности Денис Батранков. На Западе, по его словам, некоторые компании отдают задачу по контролю управления доступом на аутсорсинг — это дешевле, чем нанимать соответствующего специалиста в штат компании. «В России же это не принято,— отмечает эксперт.— У нас боятся, чтобы информация не утекла, не доверяют другим компаниям».
По мнению господина Батранкова, основная проблема с внедрением систем автоматизации доступа в том, что они дороги, сложны в разработке, а также требуют индивидуализации под клиента и постоянной поддержки. Сергей Ненахов полагает, что сложности связаны в первую очередь с кастомизацией.