апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

12.04.2024

На RIGF 2024 обсудили ключевые вопросы цифрового развития России

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Интервью / Дмитрий Бондарь: «Каждая сделка – это шахматы, особенно на уровне крупных заказчиков»

Мировой рынок систем управления доступом IdM, или более современного поколения – IGA (Identity Governance and Administration), развивается достаточно давно. В России подобные решения появились в 2000-х годах. На нашем рынке поначалу превалировали иностранные решения по управлению доступом, которые предлагали западные ИТ-гиганты. Но с годами появились и отечественные IdM-системы, более гибкие и учитывающие особенности ведения бизнеса в стране и при этом отвечающие требованиям импортозамещения. Интерес к ним проявляют не только госкомпании и госструктуры, ограниченные в выборе продуктов политикой импортозамещения ИТ, но и коммерческие компании.

Одна из российских систем управления доступом нового поколения – Solar inRights, платформа IGA, обеспечивающая автоматическое исполнение процессов и регламентов по управлению правами доступа к информационным ресурсам, а также расследование инцидентов ИБ в части управления правами доступа.

Дмитрий Бондарь:

«Каждая сделка – это шахматы, особенно на уровне крупных заказчиков»

На вопросы «БИТа» отвечает руководитель департамента систем IGA компании «Ростелеком-Солар»

Беседовала Галина Положевец

Досье Дмитрий Бондарь руководитель департамента систем IGA компании «Ростелеком-Солар» В 2007 закончил Московский Технический Университет Связи и Информатики (МТУСИ) по специальности «Прикладная математика». Свою карьеру начал в 2002 году с работы программистом в лаборатории инфокоммуникационных технологий МТУСИ. С 2005 года работал в компании ТТ-Капитал, где отвечал за разработку основной учётной системы организации. В 2008 году пришел в компанию «Инфосистемы Джет» в качестве ведущего разработчика систем Identity Management (IdM), а в 2010 году занял позицию архитектора систем IdM (участвовал в ряде крупнейших в России проектов внедрения IdM). В 2012 году вступил в должность руководителя направления IdM и отвечал за коммерческое и продуктовое развитие бизнес-направления. В 2015 году возглавил продуктовое направление IdM в компании Solar Security. С 2019 года является руководителем департамента систем IGA компании «Ростелеком-Солар».

– Дмитрий, Вы уже долгое время занимаетесь системами Identity Management, участвовали в крупных проектах по внедрению Solar inRights в госструктурах, банках, производственных предприятиях. Приходилось ли Вам сталкиваться с мнением руководителей о том, что внедрил хорошую систему управления доступом, и все – бизнес надежно защищен? Действительно ли IdM помогает защитить бизнес, и насколько эти системы важны для бизнеса в целом?

– Когда-то я размышлял не столько об управлении доступом, это более широкая тема, сколько о его подсистеме – управлении правами доступа, и у меня возникла такая метафора. Представьте, что информационная система компании – это квартиры в подъезде. И мы всем сотрудникам нашей компании выдаем ключи. У каждого свой ключ. Но вот кто-то из сотрудников решил уволиться из компании, идет по подразделениям с обходным листом. Все его ключи, права доступа нужно забрать. Но по какой-то причине забрали не все ключи (права) – забыли, не заметили и так далее. Или, наоборот, принимают человека на работу, необходимо выдать ключи (права). Ему могут дать ключи не от тех квартир, не то количество. Если, допустим, дали меньше, чем нужно, человек об этом скажет. А вот если выдали больше, то об этом, возможно, никто и не узнает. И он сможет заходить туда, куда ему не положено.

По мере того, как сотрудник развивается, переходит из одного подразделения в другое, у него практически никогда предыдущие права не забирают, просто выдают новые. Так возникают щекотливые ситуации, когда, например, сотрудник, перешедший из отдела кадров в ИТ-департамент, сохраняет доступ к информации о зарплатах коллег.

Периодически в информационных системах компании работы выполняют подрядчики, например, внедряют систему CRM. Им тоже нужны права, и их выдают. Всегда ли их потом забирают? Это зависит от внимательности и исполнительности сотрудников, от того самого человеческого фактора. Человек всегда был и будет одной из основных причин возникновения рисков информационной безопасности.

Однажды я общался с одним из наших хороших заказчиков, руководителем службы информационной безопасности. Он поделился со мной своей метафорой, которая мне понравилась. Обсуждая в компании риски информационной безопасности, и как от них лучше защищаться, он слышит порой аргументы из разряда «если раньше ты не сталкивался в работе с какими-то угрозами, то, наверное, от этих угроз защищаться не нужно». В ответ он всегда предлагает коллегам не устанавливать на дверь в квартиру замок, если до этого их никто не обворовывал.

– Каковы сейчас тенденции развития решений по управлению доступом?

– Основные мировые тенденции, прежде всего, связаны с переходом в облака. Системы усложняются, как и сам контекст, в котором они должны функционировать. Если мы говорим про системы управления доступом, которые работают только в инфраструктуре предприятия, там, действительно, можно за счет ограничения периметра контролировать некую узкую область, условно говоря, главный вход.

Но сейчас расширяются границы информационной инфраструктуры предприятия, компании начинают пользоваться облачными сервисами. Это, прежде всего, характерно для наших иностранных коллег. В России мы пока ещё находимся на переходной стадии. Непонятно, как быстро мы ее пройдем.

В связи с тем, что усложняется информационная инфраструктура, средства управления доступом тоже становятся сложнее, избирательнее. Они приобретают современные технологические элементы, связанные с искусственным интеллектом. Мы из относительно статического мира, в котором нам все понятно – вот стоит сервер в уголке, вот системный администратор, который раздает права доступа – переходим в некоторое динамическое состояние, когда права нужно быстро предоставлять, отзывать, менять. И какие нужны права, тоже необходимо определять, исходя из заданных параметров.

Актуальна тематика построения ролевой модели, основанная на поведении пользователей, на искусственном интеллекте. Средства, которые управляют доступом, тоже видоизменяются – они становятся ориентированными на облачные технологии и платформы. Когда у нас информационные системы находятся за рамками периметра компании, то возникает задача, как сделать один шлюз, чтобы только через него люди попадали в наши информационные системы, и как на нём управлять доступом: кому куда можно, кому куда нельзя. Поэтому на Западе сейчас активно развиваются системы CASB – Cloud Access Security Broker, которые позволяют выявлять потенциальные риски и обеспечивать высокий уровень защиты данных в облаке.

– Есть ли какие-то особенности российского рынка, которые учитываются в наших IdM-системах?

– Вы знаете, мы пока не торопимся в облака. Компании малого бизнеса охотно пользуются облачными сервисами от Google или Microsoft. Им это удобнее с точки зрения экономии средств, возможности быстро получить сервис, быстро от него отказаться в случае каких-то сложностей. Что же касается компаний среднего и крупного бизнеса, то я бы не сказал, что сейчас у нас есть рынок software as a service, на котором было бы достаточное количество надежных поставщиков этих услуг.

Поэтому мы работаем пока на уровне IdM-технологий, которые на Западе были лет пять тому назад. Мы перенимаем какие-то термины, их законодателями часто является компания Gartner. Раньше был термин Identity Management (IdM), потом Identity and Access Management (IAM), затем Identity Governance and Administration (IGA). Хотя по своему опыту я вижу, что элементы того, что Gartner называет IGA, создавали на российских предприятиях ещё в 2009 году. А некоторые и тогда не строили, и сейчас они не очень нужны. Больше всего это касается направлений, связанных с compliance, западными требованиями, они для нас просто не актуальны. Российский рынок имеет уже свои устоявшиеся правила, поэтому какие-то требования, актуальные на Западе, для нас таковыми не являются, если, конечно, акции компании не котируются на западной бирже.

– Быстро ли растет отечественный рынок IdM-систем?

– Он растёт медленно, но стабильно. Из года в год есть небольшой, примерно равный рост. Когда IdM-рынок в России только формировался, компании-пионеры, внедрявшие системы управления правами доступа, были очень крупными, равно как и их проекты. Потом в какой-то момент IdM-решениями стали интересоваться и средние компании. Сейчас уже могут приходить запросы и от компаний в 50 человек.

– Какие IdM-решения доминируют сегодня на нашем рынке – иностранные или отечественные?

– Мне кажется, что сейчас наступил паритет. Компании, свободные в выборе программного обеспечения, все-таки чаще выбирают иностранные решения. Есть организации, которые не могут в силу тех или иных ограничений рассматривать западные решения. Хотя в нашей практике случалось, что компания могла выбрать иностранное решение, а предпочитала наше.

– Что чаще влияет на решение при выборе?

– Сейчас покупатели в целом становятся более квалифицированными, грамотными. При выборе они учитывают большое количество факторов. Кому-то, например, важна близость техподдержки. Они говорят: мне поставили западную систему, а что я с ней буду делать? Есть на нашем рынке иностранные IdM-системы, у которых техподдержка осуществляется не в России, а за рубежом. Это обстоятельство может отпугнуть заказчика.

Цена, безусловно, является не то чтобы конкурентным преимуществом, а базовым аргументом, который на входе может на что-то повлиять. Но дело в том, что иностранные вендоры дают скидку на продукт при первой продаже порой до 90%, поэтому цена в итоге не имеет решающего значения.

– Процесс импортозамещения сильно повлиял на развитие рынка IdM-систем?

– Импортозамещение, безусловно, повлияло – у некоторых госпредприятий есть ограничения по выбору решений. Были такие прецеденты, когда заказчик покупал некий западный продукт, а потом в процессе реализации контракта попадал под санкции и вынужден был менять коней на переправе.

Повлияли также санкционные процессы. Например, у заказчика установлена система западного производства, а ему иностранный производитель отказывается продлять техподдержку. В результате заказчик остается без техподдержки в патовой ситуации.

– С кем вам труднее выдерживать конкуренцию? С западными или российскими компаниями?

– Рынок IdM-систем, скажу так, штучный. Каждая сделка – это шахматы, особенно на уровне крупных заказчиков. И я не могу сказать, что с кем-то сложнее, с кем-то проще. У всех есть свои сильные стороны. По сути, работа с заказчиком всегда развивается сложным образом. Например, какая-то компания давно прорабатывала с потенциальным заказчиком тему управления доступом через службу информационной безопасности и считает сделку решенным делом. А в компании-заказчике вдруг передают бюджет на закупку IdM из службы ИБ в департамент ИТ, который выбирает другое решение. И такое случается.

– Кто преобладает среди заказчиков Solar inRights? Госструктуры?

– Я бы не сказал. Долгое время государственные организации вообще не внедряли себе системы такого класса. Не знаю, с чем это связано. Может быть, не было соответствующих драйверов, потому что этот класс систем внедряют по ряду соображений. Один из возможных драйверов, например, это культура информационной безопасности компании. Я часто привожу пример из финансовой сферы. Были в нашей практике два банка одинаковой величины. В одном банке, когда происходил инцидент, службу безопасности вызывали на ковер, а в другом – прикрывались бумажками, отмахивались от клиентов. В результате в том банке, где понимали важность информационной безопасность, нашу систему внедрили. А во втором банке нет.

Отношение собственника бизнеса к информационной безопасности, к ее культуре в компании – показатель того, насколько его бизнес защищен. Если руководитель организации видит в безопасности критичную функцию, то тогда, действительно, принимаются адекватные меры, используются достаточные средства. Если же собственник рассуждает, как коллеги нашего заказчика, о котором я рассказывал вначале, мол, меня ещё не обворовывали, поэтому замок я ставить не буду, то шансов у службы безопасности внедрить нормальную систему управления доступом практически нет.

– Когда был создан Центр компетенций систем управления доступом «Ростелеком-Солар»?

– Наше направление появилось вместе с образованием компании Solar Security в 2015 году. Казалось бы, не так давно, но ощущение такое, словно уже прошло 10-15 лет. Изначально мы занимались в части управления доступом только системами класса IdM. Создавали платформу, на которой потом могли строить систему управления доступом для наших заказчиков. Ориентировались на крупные холдинги, чтобы система поддерживала все циклы сложных процессов, была достаточно гибкой, на ней можно было бы повторить разнообразные вариации всех бизнес-процессов.

После того, как мы вошли в состав «Ростелекома», существенные преобразования в компании заставили нас меняться быстрее, чем мы бы это делали естественным образом. Буквально за полгода мы выросли в два раза. Соответственно, цели наши также поменялись. Сейчас «Ростелеком-Солар» является национальным провайдером технологий и сервисов кибербезопасности, поэтому с точки зрения управления доступом мы выходим за рамки тематики IdM. Мы помогаем крупнейшим российским предприятиям построить эффективную многоуровневую систему управления доступом, включающую в себя процессы и инструменты аутентификации, управления и контроля прав доступа, автоматизации.

Прежде всего мы сделали ставку на сильную команду. Почему? Потому что система управления доступом – это не ПО. Система управления доступом – это многоуровневая экоструктура, состоящая из множества элементов: людей, которые в ней задействованы, документации, правил, регламентов, технических систем. В том или ином виде она есть в любой организации: есть информационные системы, есть люди, имеющие к ним доступ, есть некоторые правила или технические решения для подачи и согласования заявок, есть то, как эти заявки исполняются и т.д. В самом простом виде это системный администратор, который по устному запросу сотрудника предоставляет ему требуемый доступ.

Поэтому если мы просто передадим заказчику свое ПО, оно ему ничего не даст. Он его может положить на полку. А когда мы говорим о том, что заказчику нужно построить систему управления доступом, то это означает, что ему нужно все описанные элементы сформировать или оптимизировать: перестроить процессы, обучить персонал, предложить те или иные технические средства. И среди технических средств может быть система IdM.

Как в общем виде можно оптимизировать процесс? Сначала в процессе надо разобраться, вникнуть в бизнес заказчика, только тогда можно выдавать какие-то рекомендации. При этом рекомендации одного эксперта могут совсем не совпадать с рекомендациями другого. Поэтому мы сделали ставку прежде всего на создание сильной команды экспертов в области систем управления доступом. Пригласили к себе на работу людей, имеющих самый широкий на рынке опыт и знания систем управления доступом. В нашу команду вошли специалисты из «Информзащиты», «Инфосистемы Джет», «Кода Безопасности», СберТеха, «Эр-Стайл», чьи компетенции в области IdM подтверждены проектным опытом.

В рамках наших услуг мы предлагаем нашим заказчикам свою платформу IGA. Но я считаю, что квалифицированная команда сможет практически на любой платформе построить вам хорошую систему управления доступом. Если же у вас есть хорошее ПО, однако люди понятия не имеют, как с его помощью построить вам систему управления доступом, они что-то построят. Может быть, это вас и порадует, а может быть, и нет.

Поэтому у нас есть и собственный продукт, и сильная команда, которая знает, что с ним делать. Мы не «внедряем IdM», а строим системы управления доступом для крупных российских предприятий. И на базе своей платформы это делаем, и на базе технологий наших партнеров. Следуя нашей миссии стать национальным провайдером кибербезопасности, мы создали Центр компетенций систем управления доступом.

– Хорошая команда – это уже залог успеха. А чем ваша система отличается от тех, которые предлагают конкуренты?

– Может быть, первое отличие покажется банальным, но это удобный интерфейс Solar inRights. Нам изначально хотелось сделать продукт удобным в работе, мы не думали, что это может быть конкурентным преимуществом. Правда, спустя время, когда у нас уже появилось достаточное количество заказчиков, многие из них прежде всего отмечали, какой у нас удобный интерфейс. Вплоть до того, что он был едва ли не решающим аргументом при выборе между нашим и западным решением.

Второе отличие состоит в том, что мы ориентировали свое ПО на крупных заказчиков с их большими объёмами данных и многоуровневыми структурами, чтобы оно поддерживало сложные процессы управления, смежные процессы управления доступом, и они у нас поддерживаются.

Третье отличие – наша система гибко автоматизирует процессы организации со всеми их особенностями без доработок ПО, которые зачастую требуют много времени и приводят к потере возможности обновления системы.

Если же доработки всё же требуется, то у нас есть уникальная в своём классе система плагинов, которая позволяет расширять функционал системы, сохраняя возможность обновления. Надо сказать, что в какой-то момент из-за гибкости архитектуры система стала сложноватой в настройке.

И, грубо говоря, наш плюс превратился в наш минус. Поэтому мы за последние два года сделали ряд важных шагов по созданию удобных инструментов настройки, чтобы заказчик мог нашу систему в тех или иных функциональных вещах поддерживать самостоятельно.

Есть у нас еще одна особенность, которой у многих других решений на данный момент нет. У Solar inRights высокая санкционная устойчивость. Наша система поддерживает работу на полном стеке импортозамещённых компонентов: ОС, СУБД, среда исполнения.

Она сертифицирована ФСТЭК России и внесена в Единый реестр отечественного ПО. Это существенно снижает риски для бизнеса заказчика.

– У Solar inRights недавно появилась новая версия 2.8. На что в ней сделана ставка?

– Ставку делаем на удобные настройки системы, поскольку, как я сказал, система стала очень гибкой, но автоматически усложнилась в настройке. Мы сделали и продолжаем разрабатывать различные инструменты графической настройки, чтобы, с одной стороны, дать возможность пользователям самостоятельно настраивать те или иные процессы. А, с другой стороны, чтобы система не потеряла гибкость.

В версии 2.8 появился графический редактор маршрутов. Его отличие в том, что он позволяет настроить колоссальное количество вариаций маршрутов согласования заявок на доступ. Причем сделать это могут пользователи системы без каких-либо технических навыков, например, сотрудники бизнес-подразделений компании. В предыдущих версиях это могли сделать лишь технические специалисты через XML-настройки.

В целом, в новой версии много изменений реализовано по результатам полученной обратной связи от заказчиков. Например, во многих компаниях по-прежнему практикуется совмещение электронного и бумажного документооборота.

Для них мы предусмотрели возможность прикрепления к заявке на доступ сканов любых форматов файлов – приказов, распоряжений, подписанных от руки обязательств и т.п.

Также по запросу клиентов в Solar inRights 2.8 реализована возможность возврата заявок на доступ на уточнение, если согласующему лицу для принятия решения о выдаче доступа нужно запросить у инициатора какую-либо дополнительную информацию. Теперь нет необходимости отклонять весь процесс и заставлять инициатора запроса создавать его заново. Ведь это раздражает сотрудников бизнес-подразделений, так как тормозит бизнес-процессы.

А можно перевести запрос в статус «На уточнении», и система автоматически отправит инициатору запроса уведомление по e-mail.

А если в одной заявке было сразу несколько запросов на доступ, что часто случается, теперь можно отклонить не всю заявку в целом, а лишь отдельный запрос.

Из этих, казалось бы, мелочей, и складывается тот самый позитивный пользовательский опыт, который в конечном счете оказывает серьезное влияние на выбор системы управления доступом.

– А Вам лично, что нравится в новой версии?

– Прежде всего нравится, когда заказчики смотрят ее и остаются довольны. В нашей компании ведь тоже эта система внедрена. В ней есть много удобных элементов – чувствуется, что они сделаны для людей. Видно, что они хорошо продуманы, их не один, не два. Таких деталей много, и это приятно.

– Как вы изучаете потребности потенциальных заказчиков или тех, с кем уже работаете?

– Есть обратная связь по итогам презентации и демонстрации системы, заказчики часто задают вопросы. Это первый блок. Второй блок – обратная связь от службы технической поддержки. У нас есть специальный раздел отчётности, где ведется учет запросов наших заказчиков на изменения. Сейчас мы ещё пробуем проактивный подход – у маркетологов появились сотрудники, которые занимаются маркетинговыми исследованиями, это уже некая работа с рынком.

– Так что же требуют заказчики от системы управления доступом? Чему она должна соответствовать?

– Нормальная, хорошая система управления доступом должна отвечать сложившимся процессам клиента. Когда заказчики задумываются о необходимости построения у себя такой системы, они на неё смотрят с точки зрения тех процессов, особенностей, ровных и неровных мест в этих процессах, которые у них есть.

А процессы эти чаще всего складываются стихийно, мало какая компания строит себе систему управления доступом, когда она находится на начальной стадии развития. Про это тогда никто не думает, думают о другом.

А к тому моменту, как появляется и время подумать, и финансовые возможности на построение системы управления доступом или внедрение IdM, многие процессы уже сложились. Поэтому очень важно, может ли та или иная система управления доступом учитывать особенности устоявшихся бизнес-процессов.

В зависимости от глубины погружения заказчиков в тему, требования бывают очень разными. Они могут умещаться на полутора страницах, а случалось, что требования расписывались и на 273 листах.

– Ваша система управления доступом подгоняется под требования конкретного заказчика? Каждый раз это индивидуальный проект?

– Абсолютно верно. Поэтому я и не считаю, что IdM – это продукт. IdM – это услуга по построению такой системы. Я не встречал двух одинаковых IdM, развернутых в двух разных компаниях.

– Чем будет заниматься Центр компетенций в ближайшем будущем?

– Первое, что мы сделаем, – расширим состав продуктов, которые входят в нашу услугу. Будем закрывать задачи управления привилегированными пользователями, федеративной аутентификации, биометрической аутентификации.

У нас расширятся консалтинговые услуги: мы будем решать проблемы заказчиков, связанные с управлением доступом, а не внедрять им ПО.

Конечно же, мы смотрим достаточно внимательно, как и все остальные, на дальнейшее развитие облачных технологий.

Но, как я говорил, пока у нас SaaS не разовьется, пока не появятся бизнес-приложения в облаках, собственно, IdM там делать нечего.

Смотрим в сторону искусственного интеллекта, в части построения ролевых моделей. И, скорее всего, из облаков и ИИ мы соберем какой-то пазл.

– Что бы вы посоветовали руководителю компании, который задумался о приобретении и внедрении системы управления доступом?

– Система управления доступом, если рассматривать построение идеальной системы «под ключ», а, как мы знаем, идеально ничего не бывает, – это очень долгий и дорогой процесс. И он не всегда приятный и удобный.

Система затрагивает слишком большое количество подразделений, чтобы ее внедрение было простым. Необходимо подключать службу ИБ, нужно договориться с ИТ, с кадрами, нужно до бизнес-пользователей эту инициативу донести. Согласовать со всеми руководителями.

Это непростой процесс, поэтому мой совет будет таким: ставьте во главу угла экономические вопросы. Система управления доступом многослойна – посмотрите на нее именно с точки зрения разных слоев – людей, систем, процессов, оборудования.

Очень важно правильно выбрать точку приложения усилий. Представьте, что я – заказчик, прихожу к вендору и говорю: «Ребята, постройте мне систему IdM». А вендор отвечает, мол, хорошо, денежные затраты – 200 млн, процесс внедрения – 5 лет. Достигну ли я в результате внедрения своих целей, эффективны ли будут мои инвестиции – большой вопрос.

Поэтому мне изначально надо понять, а на каком уровне, на каком бизнес-процессе, в какой его части мне нужны реальные улучшения, чтобы я получил какой-то бизнес-результат.

И, выбрав наиболее критичный для себя бизнес-процесс, выстроить в нем систему управления доступом, чтобы получить конкретный и ощутимый эффект. 

В начало⇑