Уровень развития технологий в банковских организациях сейчас таков, что грань, всегда существовавшая между ИТ-блоками и ИБ-департа-ментами в банках, постепенно стирается. Появляются системы и решения, которые позволяют ИТ- и ИБ-специалистам совместно решать многие задачи, а самим банкам – повышать качество обслуживания клиентов и обеспечивать непрерывность своих ключевых бизнес-процессов. Об одном из таких решений – системе Wallix/СКДПУ – рассказал в интервью NBJ генеральный директор ООО «АйТи БАСТИОН» Александр НОВОЖИЛОВ.

NBJ: Александр, мы с Вами беседовали примерно полгода назад и в рамках тогдашнего интервью обсуждали базовый продукт Вашей компании – систему Wallix/СКДПУ, предназначенную для осуществления контроля за действиями привилегированных пользователей банковских систем. Произошло ли за это время расширение ее функциональности, появились ли в ней новые опции или, возможно, изменилось отношение к ней со стороны имеющихся и потенциальных заказчиков?

А. НОВОЖИЛОВ: Знаете, перемены действительно произошли, и я честно признаюсь Вам в том, что мы даже сами не ожидали, что они будут столь глобальными. Дело в том, что изначально заказчики были склонны рассматривать нашу систему исключительно как еще один из инструментов обеспечения информационной безопасности в банках. То есть они считали, что ее использование позволит им осуществлять только контроль за парольной политикой, за циклом жизни паролей, за тем, чтобы пользователи не могли войти в критичные для банка системы, если они не имеют прав доступа к ним.

NBJ: Звучит вполне логично. А что же они видят в этой системе теперь, помимо перечисленных Вами опций?

А. НОВОЖИЛОВ: Теперь они все чаще демонстрируют понимание того, что Wallix/СКДПУ – это прежде всего система, позволяющая упорядочить работу ИТ-инфраструктуры в банках. Никто не оспаривает того, что она полезна и с точки зрения обеспечения информационной безопасности, но это не главное ее достоинство и не основное ее предназначение. И осознание этого факта изменило восприятие нашего предложения со стороны банкиров. Если полгода назад систему продвигали в основном банковские безопасники, а руководители ИТ-департаментов сопротивлялись ее внедрению, то теперь как раз ИТ-специалисты выступают в роли главных заинтересованных лиц. 

NBJ: Не очень понятно, почему сотрудники ИТ-департаментов раньше не хотели ее внедрения, не могли бы Вы пояснить этот момент?

А. НОВОЖИЛОВ: Они считали, что таким образом безопасники пытаются вторгнуться на их территорию и установить контроль за их действиями. Но, как Вы видите, понадобилось всего несколько месяцев для того, чтобы они поняли: система помогает в первую очередь им самим. Например, с ее помощью они могут устанавливать контроль за действиями подрядчиков, отслеживать, выполняют ли они порученные им задачи, достаточно ли корректно и своевременно обслуживают какое-либо оборудование и т.д.

Конечно, точно так же руководители ИТ-блоков могут видеть и то, как работают их штатные сотрудники, реально ли они делают что-то во время сессий или просто «отмечаются» в системах. Тут важно понимать, насколько насущным для банков является решение именно этой задачи. К настоящему моменту мы пришли к тому, что многие финансово-кредитные организации построили грандиозные ИТ-инфраструктуры, объединяющие десятки, а в ряде случаев даже сотни офисов и филиалов. С одной стороны, такие сети развиваются планомерно, а с другой, все равно невозможно избежать каких-то стихийных явлений, возникающих, например, при слиянии различных активов. У одного из банков, участвующих в такой сделке, оборудование одного производителя, у другого – оборудование другого производителя, то же самое можно сказать и об ИТ-системах. Надо их как-то совмещать, сводить управление оборудованием и системами в единый центр, а для этого необходимо в том числе создать систему централизованного доступа и централизованного контроля. В противном случае «творческий беспорядок», который во многом сложился стихийно, будет постоянным, и это будет сказываться на эффективности бизнеса банковских организаций.

NBJ: И как это позволяет решать использование вашей системы на практике?

А. НОВОЖИЛОВ: Мы ставим задачу не обеспечить авторизацию на каких-либо конечных устройствах, как это традиционно рассматривает ИТ-безопасность, а немного под другим углом. Пользователи сначала должны авторизоваться в едином центре и только затем попасть в ту систему, в которую им разрешено заходить. В этом случае убиваются сразу два зайца: во-первых, обеспечивается управление доступом, и, во-вторых, выстраивается четкая парольная политика.

NBJ: Правильно ли я понимаю, что к вашему решению должны в первую очередь проявлять интерес банки, обладающие и разветвленной филиальной сетью, и, что естественно, «зоопарком систем»?

А. НОВОЖИЛОВ: Да, и при этом у них есть и другие мотивационные причины для внедрения нашей системы. Ни для кого не секрет, что для ИТ-блоков таких банков «текучка кадров» – это нормальное и неизбежное явление. Соответственно, уровень чувствительности при обеспечении безопасности информации у них априори выше, чем у малых и средних банков. И издержки, которые они рискуют понести в случае сбоев в работе ИТ-систем – в силу ошибок, допущенных пользователями, или злонамеренных действий со стороны «кротов», или пренебрежения подрядчиков своими обязанностями, – намного выше. Причем в данном случае уместно говорить как о финансовых издержках, так и о репутационных, и в ряде случаев сложно даже определить, какие из них оказываются более высокими и болезненными для банков.

NBJ: Поэтому как раз руководители ИТ-департаментов начинают все больше интересоваться вашей системой?

А. НОВОЖИЛОВ: Естественно. Представим себе ситуацию: возник какой-либо инцидент, приведший к сбою в той или иной системе. Кто в первую очередь получает в таких случаях «по голове» от начальства? Этот вопрос решается просто: конечно же, руководитель ИТ-блока, поскольку ни председатель правления, ни его заместители, курирующие ИТ-блок, не будут искать истинного виновника. Использование нашей системы позволяет сразу определить виноватого и принять соответствующие меры – как с точки зрения исправления ошибки, так и с точки зрения санкционных мер против пользователя, если это его вина, или против подрядчика, если это его недосмотр, и т.д.

NBJ: От каких еще неприятностей может уберечь банк использование системы Wallix/СКДПУ?

А. НОВОЖИЛОВ: Знаете, достаточно распространенное явление в банках, по нашим наблюдениям, – «самодеятельность» пользователей. Стремясь облегчить себе работу, они настраивают правила на межсетевом экране и таким образом обеспечивают себе возможность заходить в систему с домашних ПК. Казалось бы, в этом нет ничего страшного – просто маленькая «дырочка». Но профессиональные хакеры умеют находить подобные уязвимости и затем эксплуатировать их в своих целях. Внедрение Wallix/СКДПУ сводит риск таких инцидентов практически к нулю.

Еще один момент, который мы всегда отмечаем и на котором акцентируем внимание: использование нашей системы повышает уровень дисциплины в организации. Тут очень важно понимать, что никто не призывает «расстреливать» пользователей за каждую допущенную ими ошибку. Важно совсем другое: чтобы они осознавали, что все инциденты будут отслежены и все виновные установлены. Это повышает и ответственность пользователей, и качество их работы, что в конечном счете позитивно отражается и на качестве работы банков в целом. 

NBJ: Итак, подводя итог нашей беседы, можно констатировать, что за прошедшие полгода банковский рынок и в первую очередь банковские ИТ-специалисты распробовали систему Wallix/СКДПУ и стали лучше понимать, в чем преимущества ее внедрения?

А. НОВОЖИЛОВ: Совершенно верно. При этом я хотел бы отметить, что система, если можно так выразиться, «пошла в народ»: если раньше к ней проявляли интерес кредитные организации, которые традиционно являлись новаторами в сфере ИТ и старались внедрять у себя все новые решения, то теперь к нам все чаще обращаются и весьма консервативные банки, которые обычно не слишком падки на новинки. Только за последние полгода мы заключили соглашения с четырьмя банками, которые входят в ТОП-30. Это лучше всего говорит о том, что банки уже не в теории, а на практике осознают, какие проблемы помогает им решить наша система и снижению каких рисков она способствует.