Тема контроля за действиями привилегированных пользователей банковских систем сравнительно новая для российского банковского рынка. На вопросы о том, почему она приобрела актуальность именно в уходящем году, и о том, что могут предложить компании-разработчики в качестве ответа на новые вызовы в сфере ИБ, ответил в интервью NBJ генеральный директор ООО «АйТи БАСТИОН» Александр НОВОЖИЛОВ.

NBJ: Александр, эта тема так или иначе существовала и ранее. Почему до недавнего времени на нее то ли не обращали внимания, то ли не относили ее к разряду злободневных? 

А. НОВОЖИЛОВ: На мой взгляд, актуализация началась с того, что ряд наиболее продвинутых в технологическом отношении российских компаний начали интересоваться этой тематикой. Сначала они пытались решить ее подручными средствами, потом, поскольку спрос уже сформировался, появились профессиональные решения, и это, в свою очередь, придало проблеме, если так можно выразиться, массовость. Раньше можно было сказать: риск есть, но нет инструмента его контроля и минимизации, что ж, будем бороться с ним, как сможем. Теперь же инструменты есть, и это подняло саму проблему контроля за действиями привилегированных пользователей на принципиально новую высоту.
 
NBJ: Чем сложнее становятся технологии, тем более многообразными и сложными становятся риски в сфере ИБ?

А. НОВОЖИЛОВ: Безусловно. И тут я могу отметить еще одну интересную тенденцию: на протяжении достаточно длительного времени руководители и собственники крупных компаний считали, что у них в организациях выстроена настолько совершенная система безопасности, что мышь не проскочит. Все попытки убедить их в необходимости использования решения по обеспечению контроля за действиями пользователей наталкивались на ответ: «Да у нас такая защита АБС, что нам ничего не страшно!». Но на практике мы видим иное: жертвами атак со стороны злоумышленников становятся в том числе и очень крупные организации, совершающие огромные инвестиции в ИТ. Именно действия привилегированных пользователей могут привести эти атаки к ожидаемым результатам. Дело в том, что первое, что делает злоумышленник при попадании в сеть, – попытку «стать» привилегированным пользователем. В случае, если ему это удается, он не только выполнит задачу, но и зачистит следы. Теперь представьте, что технически грамотный специалист находится внутри сети легитимно (он сотрудник или инженер подрядчика) и является привилегированным пользователем. Любая его ошибка может создать потенциальную уязвимость для атаки снаружи. А о последствиях его действий в случае злого умысла можно только догадываться.

NBJ: Выходит, АБС были не настолько защищены, как об этом было принято говорить.

А. НОВОЖИЛОВ: Совершенно верно. И прецеденты, наглядно продемонстрировавшие это, дали стимул для обсуждения темы контроля за действиями администраторов систем. Если раньше это был, если так можно сформулировать, «периферийный топик», то сейчас он оказался на пике дискуссий. И мы уже обсуждаем этот вопрос не столько с руководителями профильных департаментов, сколько с топ-менеджерами банков, поскольку они понимают, что в современном мире обеспечение информационной безопасности – это вопрос эффективности деятельности их организаций, а в ряде случаев и дальнейшего их существования. 

Еще одна тенденция, которую я хотел бы отметить, – растет сфера применения аутсорсинговых услуг. Мы все знаем, что банки в силу своего «природного» консерватизма всегда относились к аутсорсингу осторожно и ни в коем случае не были лидерами этого движения. Но сейчас, в посткризисных условиях, когда вопрос оптимизации расходов приобретает особую актуальность, они все чаще передают те или иные системы на поддержку внешним подрядчикам. Решение, обеспечивающее контроль за действиями инженеров и администраторов компаний-аутсорсеров, для них в этом контексте – гарантия того, что работы будут выполнены на должном уровне, без злоупотреблений или серьезных ошибок, способных нанести им как финансовый, так и репутационный ущерб. 

NBJ: Практика показывает, что если уж идея овладевает массами, то всегда формируется больше одного предложения. Какое место, по вашей оценке, занимает в сегменте этих решений «АйТи БАСТИОН»? 

А. НОВОЖИЛОВ: На этот вопрос непросто ответить, поскольку наши конкуренты пока не публикуют какой-либо статистики, и мы можем судить об этом только по тому, как проходят наши переговоры с потенциальными партнерами. Если исходить из этого, то могу без ложной скромности сказать, что наша компания на рынке занимает лидирующую позицию. Это обусловлено как качеством и зрелостью предлагаемого нами продукта, так и тем, что мы одними из первых занялись его сертификацией. Так, мы получили сертификат соответствия требованиям РД ФСТЭК России по четвертому уровню контроля (РД НДВ-4) – он в том числе подтверждает, что у системы Wallix/СКДПУ нет недекларированных возможностей, то есть заказчики могут быть уверены в том, что никаких закладок и бэк-доров в ней нет. На завершающей стадии находится процесс сертификации для выхода на более высокий уровень – НДВ-2, которая выполняется в системах сертификации ФСТЭК России и Министерства обороны РФ. Эти сертификаты соответствия позволяют использовать продукт в системах, где выполняется работа со сведениями, составляющими государственную тайну. 

NBJ: Это своего рода знак качества?

А. НОВОЖИЛОВ: Наличие этих сертификатов свидетельствует о том, что продукт настолько качественный, настолько хорошо защищенный, что он может быть использован даже для обработки сведений с грифом «совершенно секретно». 

Еще одно из важных его преимуществ – простота и во внедрении, и в дальнейшем использовании. На рынке есть более функциональные решения в этой сфере, но часть их функционала является избыточной, что приводит к удорожанию решений. Заказчикам нашего продукта не нужно держать специально обученный персонал, разбираться в тонкостях продуктов – то есть во всем том, что требует и усилий, и времени, и дополнительных финансовых расходов на оплату труда специалистов. Для того чтобы начать его использовать в полном объеме, достаточно одного дня обучения – и, кстати сказать, мы организуем такие тренинги для наших партнеров.  

NBJ: Насколько мы понимаем, система Wallix/СКДПУ предназначена не только для осуществления контроля за действиями привилегированных пользователей, но и для упорядочивания ИТ-архитектур организаций?

А. НОВОЖИЛОВ: Совершенно верно. Это действительно и упорядочивание инфраструктуры, и возможность быстро найти ошибку и оперативно на нее отреагировать. И это находит большой отклик со стороны компаний, которые в силу масштабов своих бизнесов вынуждены выстраивать и обслуживать огромные ИТ-архитектуры. Уследить за каждым их звеном, за каждой составной частью очень сложно, если вообще возможно. Наша же система как раз позволяет решать подобные задачи быстро и эффективно, и, что принципиально важно, она позволяет минимизировать извечный конфликт между бизнесом, ИТ и ИБ.

NBJ: Каким образом?

А. НОВОЖИЛОВ: Смотрите сами, стандартная ситуация для тех же банков. Бизнес  заинтересован в разработке новых продуктов, в максимальной автоматизации своих процессов. ИТ работают над реализацией бизнес-требований, но в какой-то момент появляется служба ИБ и говорит: мы не можем предоставить удаленный доступ к тем или иным системам, это чревато повышенными рисками. Получается замкнутый круг, в котором служба ИБ в глазах бизнеса становится тормозом прогресса. Внедрение нашего решения устраняет этот конфликт, поэтому в его использовании заинтересованы как служба ИТ, так и служба ИБ. И по обратной связи, которую мы получаем и от имеющихся, и от потенциальных партнеров, мы видим следующее: ИТ и ИБ по данному вопросу выступают «единым фронтом», и чем дальше, тем больше службы ИТ начинают играть все более активную роль при поддержке проектов по внедрению системы Wallix/СКДПУ.

NBJ: Заключительный вопрос – о планах компании на 2017 год.

А. НОВОЖИЛОВ: Как я уже говорил, наша компания занимает одно из лидирующих мест на рынке по объемам заказов, количеству реализуемых контрактов и контрактов, подкрепленных бюджетами на следующий год. Это, конечно, не предел мечтаний: мы видим, что российские компании, независимо от направления своей деятельности, нуждаются в решении, обеспечивающем эффективный контроль за действиями администраторов систем. Наше решение представляет собой хороший выбор: оно зрелое и качественное, не требует больших расходов на эксплуатацию, его поддержка обеспечивается российскими инженерами с территории Российской Федерации на русском языке. Я уверен, что в следующем году спрос на него будет расти не менее быстрыми темпами, чем в этом году.