Web Control – известный российский дистрибьютор специализированных решений систем управления внутренней безопасностью и оптимизации сетей. Частная компания ведет свою деятельность в сфере информационной безопасности с 2008 года. Генеральный директор Андрей Акинин рассказал NBJ, как происходит цифровая трансформация российского бизнеса, что представляют из себя системы контроля действий и прав привилегированных пользователей (PAM – Privileged Access or Account Management ) и, в частности, решение BeyondTrust, которое его компания предлагает на российском рынке.

NBJ: Прежде чем говорить о продукте, видимо, необходимо сказать несколько слов о Web Control, и почему финансовые и банковские организации – одни из ключевых клиентов вашей компании?

А. Акинин: Web Control занимается Value Added Distribution (дистрибьюция с добавленной ценностью). Мы сфокусированы на работе с тремя-четырьмя основными вендорами и несколькими сопутствующими брендами. Модель Value Added Distribution достаточно популярна у нишевых производителей, которые создают прорывные технологии. Так исторически сложилось, что мы выводим на российский рынок передовые инновационные решения и технологии, которые на нем еще не представлены.

В нашей команде работает порядка 50 человек, из них половина – это инженеры. Их задача донести до клиента идею сложного продукта, объяснить, зачем он нужен, продемонстрировать его ценность, ну и, конечно же, техническая поддержка. Мы помогаем с коммуникациями между западным вендором и заказчиком, чтобы те понимали друг друга и говорили на одном языке. Наши инженеры знают, как правильно сформулировать вопрос, заданный нашим пользователем техподдержке, чтобы получить ответ не когда-нибудь, а в разумные сроки.

По каждому из вендоров мы формируем выделенную инженерную команду. Иначе схема не работает. Мы хорошо знаем то, что продаем, и мы продаем только то, что работает. Это девиз любого дистрибьютора с добавленной ценностью.

Почему кредитные организации являются нашими основными клиентами? На мой взгляд, банки – наиболее развитые ИТ-компании на рынке. Мы регулярно участвуем в «Уральском форуме – Информационная безопасность финансовой сферы». Вспоминаю, как на одном из круглых столов было сформулировано интересное мнение о том, что банки, в принципе, занимаются не деньгами, а передачей «битиков и байтиков». Объясню: банки, по сути, работают не с деньгами, а записями о них. Соответственно, основным объектом деятельности банка является информация. В частности, данные о наличии денег на их счетах. Значит, защита информации для банка является защитой бизнеса. Это и есть их основной актив – некие виртуальные сущности, которые могут быть превращены в определенное количество бумажных денег.

Но чем дальше, тем сложнее это делать. Деньги с каждым годом становятся все условнее. Началось это в 1971 году, когда американский президент Ричард Никсон, мотивируя свое решение временными сложностями, прямо в телеэфире отменил так называемый «золотой стандарт» и отвязал доллар от золота. С тех пор мы так и живем – все дальше и дальше от физических денег.

Большинство банков очень долго пребывало в иллюзии, что они работают с деньгами. И только сейчас с наступлением эры цифровой трансформации, они начинают осознавать свою истинную сущность, что, прежде всего, работают с цифровыми активами. Учитывая то, что наша компания находится на острие инновационных решений, кредитные организации являются наиболее востребованными заказчиками.

NBJ: Какие продукты вы им предлагаете?

А. Акинин: Появляются все более изощренные способы проникновения и компрометации информационных систем. Поэтому сейчас очень активно востребован функционал анализа трафика, информационных потоков. К примеру, для этого у нас есть решение Flowmon, которым сейчас активно интересуются и банки, и другие компании с серьезными ИТ-инфраструктурами.

Но я бы хотел остановиться на другом продукте, с которым мы работаем на российском рынке. BeyondTrust Privileged Access Management – это набор удобных инструментов для управления и контроля привилегированного доступа с широким набором возможностей и легким развертыванием. Он уменьшает затраты на администрирование и снижает связанные с этим риски.

NBJ: На недавней дискуссии онлайн-конференции AM Live вы заявили, цитируем: «Хватит думать термином «привилегированные пользователи». На наш взгляд, бессмысленно управлять привилегированными пользователями, необходимо управлять привилегиями, когда это необходимо». Поясните, что вы имели в виду, почему для вас столь важен этот нюанс?

А. Акинин: Привилегии, как правило, являются первичным вектором атаки злоумышленников на ИТ-инфраструктуру. Чтобы сделать что-то нехорошее, нужно получить на это привилегию. Контроль эскалации привилегий является критическим вопросом для предотвращения проникновения в ваши сети. В этом отношении ландшафт контроля привилегий серьезно меняется – мы постепенно уходим от традиционного Privileged Access Management, управления привилегированным доступом, – по сути дела, управления пользователями, которые имеют доступ к привилегированным учетным записям. Весь мир движется в сторону управления не самим доступом, а управлением привилегиями. Вопрос обеспечения жизненного цикла привилегий – Privileged Account Data Lifecycle Management – выводится на первый план и аналитическими агентствами (KuppingerCole Leadership Compass PAM 2020).

И на недавнем онлайн-эфире, мы с тремя, как минимум, основными игроками на этом рынке сошлись во мнениях по поводу такой концепции. Это выстраданная точка зрения, которая основана и на нашем собственном опыте. BeyondTrust – действительно революционный продукт, его основной подход – универсальное управление привилегиями (Universal Privilege Management). Привилегия – это право сделать что-то. В чем отличие управления привилегиями от контроля привилегированного доступа? Не вполне безопасно открыть доступ к управлению ИТ-системами в организации, необходимо четко решить, какой именно доступ мы предоставляем в данный конкретный момент конкретному человеку, и к какому конкретному инструменту администрирования. Это позволяет минимизировать риск при компрометации привилегированного доступа. В этом есть основное отличие систем, которые создавались для управления привилегиями, от систем, которые создавались для контроля доступа.

Условно: одно дело по ошибке дать привилегированный доступ к вашей мастерской маленькому ребенку, который и сделать-то там ничего не сможет, другое – подростку, который уже может набедокурить, и третье – злоумышленнику, который возьмет болгарку и вскроет ваш сейф. Так и с уровнем привилегий, чем меньше их будет выдано в конкретной сессии, тем меньше потенциальный ущерб.

Нечто похожее происходит в ИТ-структуре любой большой компании. Зачастую на одном и том же сервере могут существовать десятки информационных систем, которые могут друг на друга как-то влиять. Поэтому вопрос гранулированности доступа обусловлен не только уровнем доверия к пользователю: человек занимается своей работой, он должен четко понимать, что своими действиями не может навредить соседу. Это самое главное, что мне хотелось донести. Управление привилегиями – это очень важный аспект цифровой трансформации, которая значительно повышает критичность ИТ для бизнеса.

NBJ: Исходя из того, что наблюдается ухудшение ситуации по коронавирусу и продление режима удаленной работы, такой подход становится все более востребован?

А. Акинин: Обеспечение жизненного цикла привилегий важно всегда, независимо от того, в каком режиме работает организация. Те компании, которые жили в иллюзии защищенности по периметру, сейчас, при выносе рабочих мест за его пределы, вынуждены задуматься о том, что уже несколько лет им говорят западные вендоры и аналитики. А они говорят о концепции Zero Trust (нулевое доверие). Я не имею в виду нулевое доверие к пользователю – разговор не об этом! Конечно, когда сотрудник оказывается за периметром организации, у него может возникнуть иллюзия неконтролируемости. Важно, что дополнительно в полный рост встает проблема «не доверенного» окружения. На рабочем месте в офисе на компьютере работает один человек, но как только ему выдали ноутбук и отпустили с ним домой, существует вероятность, что за него сядет его ребенок, жена или просто случайный человек, оказавшийся у него дома по какой-то причине. Модель угроз сразу мигрирует к Zero Trust.

Поэтому вам необходимо быть уверенным, что за компьютером сидит человек, которого вы наделили определенными правами доступа к рабочему месту, что он не задумал какую-нибудь гадость, что в его компьютере не поселилась гадость, делающая что-то от его имени. Я пока говорю об обычном доступе рядового сотрудника. Но по мере роста значимости сотрудника в иерархии, его привилегии становятся более объемными, а угроза растет по экспоненте. Когда мы даем доступ извне, возникает вопрос, насколько обоснованы привилегии, которые он получает?

ИТ-системы разрабатывались достаточно давно. И они продолжают разрабатываться, исходя из концепции доверенной среды. С учетом существующих реалий до того момента, пока системы не будут иметь интегрированного инструментария управления привилегиями, хотите вы этого или нет, необходимо иметь внешний инструмент, обеспечивающий жизненный цикл привилегий. Этими системами сейчас являются Privileged Access Management (PAM). Они разрабатываются многими компаниями вендорами. У BeyondTrust, на мой взгляд, она реализована наиболее красиво и стройно. Продукт имеет отличную архитектуру, признанную перспективной многими экспертами и, самое главное, с успешным опытом применения.

NBJ: Говоря о цифровой трансформации бизнеса, на чем еще вы хотели бы сконцентрировать внимание?

А. Акинин: Я хотел бы сделать акцент на Value Stream Delivery или Value Stream Management – управление процессами доставки ценности. На мой взгляд, это очень перспективное направление, которое пока еще не очевидно для многих компаний. Цифровая трансформация влечет за собой большое количество технологических последствий и прежде всего массированное увеличение объема разработки программного обеспечения. Сейчас, как правило, она идет, по сути, в ручном режиме с использованием различных специализированных инструментов на отдельных этапах разработки. С какого-то момента придется задуматься о сквозном управлении всем процессом разработки от идеи до монетизации.

Что является основным источником ценности в цифровом бизнесе? Конечно же, разработка ПО с передовым востребованным функционалом. Соответственно, все упирается в скорость и качество выпуска новой версии продукта. И таким инструментом могут стать системы оркестрации релизов, которые обеспечат управление процессом их разработки, но в современных условиях, и этого уже может быть недостаточно для победы над конкурентами. Важно интегрировать сюда и инструменты Agility (управления созданием ценности).

Я думаю, что основные игроки на отечественном рынке уже созрели к использованию инструментов сквозной интеграции – Value Stream Management. Здесь могут быть полезны решения Digital.AI, – а они признаны одним из мировых лидеров в этой области, – и нам бы было интересно представить их потенциальным заказчикам в России. Что мы и будем делать на конференции о цифровых технологиях Tech Week, которая пройдет в Технопарке Сколково с 16 по 19 ноября 2020 года.

Мы много говорили об управлении привилегиями, но тема управления доставкой ценности еще более актуальная и интересная, по моему мнению. Я бы воспользовался таким случаем, обсудил ее, послушал коллег, обменялся опытом.

Беседовал: Станислав Комаров

Материал также опубликован в печатной версии Национального банковского журнала (октябрь 2020).