Все, что связано с обеспечением эффективной информационной безопасности, является для банков, работающих в век цифровой экономики, чрезвычайно актуальным. О том, как в условиях диджитализации бизнеса можно обеспечивать контроль за действиями привилегированных пользователей информационных систем, рассказал в интервью NBJ генеральный директор ООО «АйТи БАСТИОН» Александр НОВОЖИЛОВ.

NBJ: Александр, не так давно произошло событие, вызвавшее на нашем финансовом рынке довольно существенный резонанс. Аналитик одной из управляющих компаний разослал своим клиентам письмо, в котором негативно оценил перспективы ряда крупных банков. Этот прецедент, как ни странно, актуализировал в том числе и тему контроля за действиями привилегированных пользователей информационных систем. Заметили ли вы это оживление?

А. НОВОЖИЛОВ: Я бы ответил так. Оживление, безусловно, налицо, но не столько из-за этого или ему подобных прецедентов, сколько из-за общей сформировавшейся тенденции. А она такова, что тема обеспечения контроля за действиями привилегированных пользователей из разряда экзотики, как это было раньше, переходит в область обязательных тем, которые обсуждают в контексте обеспечения эффективной информационной безопасности. Это можно сравнить с тем, как несколько лет назад все внедряли антивирусные программы. Сначала спрашивали, зачем они нужны, а потом привыкли к тому, что это является частью… 

NBJ: Обязательной программы?

А. НОВОЖИЛОВ: Да, и не только когда речь идет о контроле за действиями штатных сотрудников, но и, например, когда проводится финансовый аудит компании. Естественно, что ее руководство заинтересовано в том, чтобы внешние аудиторы видели только ту информацию, которая необходима им для работы. Без систем, подобных СКДПУ, обеспечить контроль за действиями таких сотрудников невозможно.

NBJ: И, наверное, это также относится и к аудиту информационной безопасности?

А. НОВОЖИЛОВ: Совершенно верно. Уже были случаи, когда нас просили предоставить систему СКДПУ в пользование на время проведения аудита информационной безопасности. Те, кто имеет непосредственное отношение к обеспечению ИБ, прекрасно понимают, что в таких случаях подобное решение необходимо. Ведь невозможно приставить к внешнему аудитору человека с ружьем. Значит, нужна система, которая будет фиксировать действия внешнего пользователя, отслеживать, не оставляет ли он «закладок», с помощью которых затем можно будет проникнуть в информационные системы компании-заказчика. 

NBJ: Правильно ли я понимаю, что теперь ваша компания предлагает потенциальным партнерам не только решение СКДПУ целиком, но и возможность его временной «аренды»?

А. НОВОЖИЛОВ: Наверное, это слово тут не совсем корректно. Скажем так: мы ведем переговоры с сервис-провайдерами о включении нашей услуги в их сервисный пакет. Заказчикам это интересно, потому что они, заплатив сравнительно небольшие деньги, могут активировать нашу услугу в этих пакетах и пользоваться ей столько, сколько они сочтут нужным. Для сервис-провайдеров это интересно, во-первых, потому что таким образом диверсифицируется пакет их услуг, а во-вторых, потому что наличие нашей системы в пакете уменьшает страх клиента перед передачей своих информационных систем во внешний центр обработки данных (ЦОД) или «облако». Этот страх является очень сильным сдерживающим психологическим моментом, и в первую очередь он присущ финансово-кредитным организациям, которые традиционно трепетно относятся к своим информационным системам и к возможности передачи их на сопровождение внешним партнерам.

NBJ: Что предпочитают заказчики – приобретать ваше решение целиком и полностью или пользоваться им как опциональной услугой в пакете сервис-провайдера?

А. НОВОЖИЛОВ: Конечно же, каждый выбирает для себя, но если говорить о преобладающей тенденции, то пока все-таки чаша весов склоняется в сторону полного приобретения решения. Однако наше экспертное мнение таково, что уже начинается движение в сторону приобретения сервиса. Это логично, поскольку, во-первых, компании стремятся оптимизировать свои расходы, а во-вторых, так как наша тема все чаще попадает в зону внимания ИТ-служб. Если раньше ей преимущественно занимались «безо­пасники», то теперь все чаще это делают «айтишники», а у них совсем другой подход к решению вопросов.

NBJ: Сказывается то, что называют профессиональной деформацией? 

А. НОВОЖИЛОВ: В известном смысле слова да. «Безопасники» предпочитают иметь все под рукой, полностью контролировать все системы и решения, которые необходимы для обес­печения ИБ. «Айтишники» же в силу специфики своей деятельности исповедуют менее консервативный подход, они готовы к большей открытости, и поэтому они приветствуют решения, которые можно получать как сервис, предоставляемый внешними провайдерами. Как ни странно, в результате все чаще именно руководители ИТ-департаментов и ИТ-служб выступают в роли заказчиков нашего решения.

NBJ: Вы предлагаете систему СКДПУ компаниям, работающим в различных секторах экономики. По вашему опыту, у заказчиков из банковского сектора есть своя специфика?

А. НОВОЖИЛОВ: Безусловно. Для финансово-кредитных организаций характерно очень трепетное отношение к непрерывности своего бизнеса, поэтому все предложения по внедрению новых решений они рассматривают как раз с этой точки зрения. Что это означает на практике? То, что предпочтение они отдают решениям, которые, с одной стороны, легки во внедрении, а с другой стороны, минимально влияют на дальнейшую работу уже имеющихся в банке систем. Третий критерий, который они всегда имеют в виду, таков: новая система не должна требовать затратной поддержки, к ней не надо «приставлять» отдельного сотрудника или даже нескольких специалистов. Оптимальным решением, с их точки зрения, является простой понятный инструмент, с помощью которого можно решать несложные понятные задачи. 

NBJ: А на каком месте оказывается критерий функциональности решения?

А. НОВОЖИЛОВ: А вот это как раз очень интересный вопрос, и здесь тоже мы констатируем определенные перемены. Раньше действительно банки очень много внимания уделяли функционалу и зачастую даже требовали его расширения по сравнению с первоначальным вариантом решения. В последнее время подход изменился. Мы уже подписали соглашение с одним из очень крупных российских банков, который до этого использовал программное обеспечение, очень схожее с нашим. В ходе переговоров заказчик честно признался, что компания пользовалась лишь небольшой долей функционала и в то же время была вынуждена содержать штат специалистов для сопровождения решения. 

NBJ: Такое бывает и в обычной жизни. Приобретаешь устройство, в инструк­ции которого чего только не написано, а в процессе эксплуатации понимаешь, что у тебя нет ни времени, ни сил, ни желания осваивать весь его функционал.

А. НОВОЖИЛОВ: Вот именно. Поэтому и в обычной жизни, и когда речь идет о бизнесе, мы все потихоньку отказываемся от установки «функционала много не бывает». Оказывается, что бывает, и задача как раз не в том, чтобы приобрести продукт с максимальным функционалом, а в том, чтобы четко определить задачи, требующие решения, а затем уже приобрести соответствующее устройство или систему. Кроме того, я должен сказать, что СКДПУ очень легко интегрируется с другими системами, и как раз в рамках этой интеграции возможно расширение и их, и ее функционала. 

NBJ: То есть возникает синергетический эффект?

А. НОВОЖИЛОВ: Да, и в процессе интеграции нет ничего сложного. В результате заказчик получает не только эффективный инструмент контроля за действиями привилегированных пользователей, но и возможность решать более широкий круг задач. Именно поэтому, как я уже сказал, наше решение становится все более популярным и востребованным именно со стороны ИТ-специалистов.