Вячеслав Кузьмин: Для Экспобанка острой стала проблема разграничения прав доступа и управления ими

Вячеслав Кузьмин: Для Экспобанка острой стала проблема разграничения прав доступа и управления ими

Кузьмин Вячеслав Александрович

Руководитель направления информационной безопасности в «Экспобанке»

Окончил Томский государственный университет систем управления и радиоэлектроники (ТУСУР) по специальности «Комплексная защита объектов информатизации». Начинал свою карьеру на государственной службе (Федеральная таможенная служба, ФСТЭК России). С 2014 года работает в банковском секторе по направлению информационной безопасности. С 2018 года — руководитель направления ИБ АО «Экспобанк».

...

Мы побеседовали с Вячеславом Кузьминым, руководителем направления информационной безопасности в «Экспобанке». Разговор шёл о целях проекта по внедрению IdM-системы и о том, что было важно при выборе решения: на что смотрели, как тестировали, как «пилотировали», каких конкурентов отбросили и почему. Вячеслав рассказал, как удалённый график работы изменил стандартный подход к рекрутингу и как сейчас устроен этот процесс с использованием IdM. Мы также расспросили его о том, как работают в контуре One Identity Manager ключевые для банка системы и возможна ли интеграция этого продукта с другими ИБ-решениями.

Вячеслав, как пришла идея внедрить IdM-систему? Какие цели ставились?

В. К.: Предпосылок для внедрения было несколько. Во-первых, «Экспобанк» — это динамично развивающийся банк, и у нас за последние годы было несколько сделок по поглощению и покупке других банков. Для нас в последнее время очень острой стала проблема разграничения прав доступа и управления ими при резко увеличивающемся количестве сотрудников.

Раньше процессы согласования и утверждения были построены на базе нашего сервис-деска и электронной почты, что при больших объёмах выдачи доступов крайне усложняет проблему дальнейшего контроля и оперативности их предоставления.

Вторая проблема — это время, которое затрачивается на оформление доступов. Например, на настройку доступа к автоматизированной банковской системе раньше уходило порядка трёх дней. То есть фактически человек устроился на работу, но три рабочих дня — а иногда и четыре, в зависимости от количества заявок на предоставление доступа — он не может выполнять свои должностные обязанности.

Всё это в конечном итоге и привело к тому, что мы начали смотреть в сторону автоматизации этого процесса, для того чтобы уйти от бумажных заявок, а также заявок по электронной почте. Сегодня мы можем сказать, что у нас всё получилось.

Каков масштаб внедрения? Сколько учётных записей подключено? Занесены ли в систему только сотрудники или ещё и внешние агенты и специалисты?

В. К.: Внутри IdM-системы сейчас приблизительно две тысячи учётных записей сотрудников и двести учётных записей внешних контрагентов, которые работают с нами периодически либо на постоянной основе.

Какими силами вы сейчас поддерживаете эту систему? Пришлось ли как-то дообучать сотрудников для эффективного использования IdM?

В. К.: Со стороны банка в проекте участвовало не так много сотрудников: четыре-пять человек. Нам очень помогла большая экспертиза интегратора. В течение недели вендор обучил нашего сотрудника из отдела ИТ, и в итоге мы получили своего специалиста. И сейчас у нас сисадмин занимается поддержкой инфраструктуры, а наш обученный специалист достаточно оперативно справляется с заведением в систему новых бизнес-процессов и маршрутов на согласование ролевых моделей. Это, очевидно, позволяет сэкономить, по крайней мере на фонде оплаты труда, ФОТе. За счёт наличия конструктора внутри системы это действительно несложно сделать. Поэтому операции не занимают много времени и один человек вполне со всем справляется.

То есть теперь вы, по сути, независимы. На первом этапе интегратор вам всё настроил, но сейчас вы уже вполне самостоятельны.

В. К.: У нас была договорённость с интегратором, что после запуска в промышленную эксплуатацию мы в течение трёх месяцев можем к ним обращаться и получать необходимую экспертизу. В принципе, и сейчас One Identity идёт нам навстречу всегда, когда у нас есть проблема, которую мы не можем решить. Мы всегда можем к ним обратиться, и инженеры всегда готовы помочь. При этом никто с нас не просит каких-то дополнительных денег. Такое действительно человеческое отношение очень ценно.

Кто выступил инициатором внедрения IdM? Всем занимался департамент ИБ или была серьёзная поддержка со стороны отдела ИТ?

В. К.: Инициатором был я, но у нас очень сильная команда. Мы работаем вместе, то есть не «ИБ против всех», а «ИБ совместно с ИТ». Все максимально погружены в задачи ИБ и поэтому прекрасно понимают и задачи, и риски. Мы всё делаем вместе и гордимся нашими результатами.

Это замечательно, когда нет внутреннего противодействия со стороны других отделов.

В. К.: Это не первый банк, в котором я работаю, но это — первое место, где я чувствую себя очень комфортно, и мне приятно работать с этими людьми.

Насколько легко удалось доказать бизнесу, что этот проект необходим? Считали ли вы в деньгах? Оценивали ли время простоя? Какие аргументы использовали?

В. К.: Действительно, для бизнеса всегда непросто обосновать пользу новых, долгих и особенно недешёвых проектов.

Мы отталкивались от ФОТа. В первую очередь считались дни простоя, а также ФОТ специалистов, которые всё это настраивают. Для того чтобы полноценно завести человека в организацию, его нужно завести в домен, создать ему учётный почтовый ящик и назначить права доступа к интернету, к сетевым ресурсам, а также ко внешним системам, с которыми он работает.

Поэтому такая работа — не для одного системного администратора, здесь задействовано порядка трёх-четырёх сотрудников отдела ИТ, которые занимаются данной задачей, и они тратят достаточно много времени. Плюс к этому — время простоя, как я уже говорил.

У нас проблема заключалась ещё и в том, что сотрудники зачастую принимаются в банк проектными командами, то есть одновременно может прийти сто человек. Их всех принимают одним днём, и это — проблема. Перед командой ИТ встаёт вопрос, как им всем оперативно предоставить все необходимые доступы.

Когда объединяются организации, с точки зрения безопасности обычно возникает много нюансов при объединении ИТ-структур. «Экспобанк» провёл несколько поглощений. Не возникли ли при этом сложности в интеграции разных культур, разных ИТ-систем и настроек доступа?

В. К.: Да, мы с этим столкнулись.

И здесь как раз IdM-система и помогает нам решить задачи безопасности. Например, человеку выдаётся временный доступ. Или выдаются доступы без заявок. IdM всё это успешно контролирует. Система отзывает права по таким учётным записям и блокирует их.

Существует и регуляторное требование о том, что мы всегда должны поддерживать список учётных записей в актуальном состоянии: следить за тем, какие доступы у них есть, и выдавать только минимальные необходимые права.

Сейчас, после внедрения IdM, нам вообще не приходится этим заниматься, а внешние аудиты подтверждают, что у нас всё в актуальном состоянии и полном порядке.

То есть попутно реализуются ещё и требования Банка России?

В. К.: Да, ГОСТ Р 57580 — это актуальная сейчас тема. Мы закрываем требования ГОСТ в том числе и IdM-системой.

При планировании этого проекта оценивали ли вы такие параметры, как возврат инвестиций, ROI? Ведь интересно было бы провести анализ: мы тратим, условно, один миллион долларов, и у нас это окупается за два года за счёт того, что мы экономим на ФОТе или каких-то издержках.

В. К.: Да, мы проводили такую оценку, но, опять же, банк у нас — очень динамичный: сегодня у нас пришло двести сотрудников, завтра ушло сто. Но в перспективе двух-трёх лет система себя однозначно окупает. И снимает много вопросов: регуляторные риски, риски информбезопасности — то, что как раз и является прямыми рисками. Например, когда незаблокированные учётные записи находятся в домене, либо в попутных системах, таких как автоматизированная банковская система, либо в комплексах аналитики, системах принятия решений для андеррайтеров, то есть в тех внешних системах, в которые можно зайти через веб-интерфейс.

Другой пример — когда человек увольняется, а увольняются люди по-разному и не всегда на позитивной ноте. Часто находится тот, кто хочет нанести какой-то вред после увольнения, например украсть какую-то информацию.

Занимались ли вы внедрением IdM-системы самостоятельно или привлекали сторонних подрядчиков, консультантов?

В. К.: Перед внедрением мы привлекли внешнего интегратора, так как своими силами это сделать достаточно проблематично. У больших интеграторов, обладающих необходимой квалификацией, есть свои аналитики, которые помогают, в первую очередь, описать необходимые бизнес-процессы. Таким образом, фактически это — работа направленная на подготовку организации ко внедрению. Интегрировать нужно прежде всего систему кадрового учёта. Это — трудоёмкий и сложный процесс, и если этот путь ни разу не проходил лично, то навряд ли всё пройдёт гладко.

Таким образом, наибольшую сложность представляет не техническая сторона, а описание процессов?

В. К.: Да, описание бизнес-процессов, ролей, путей согласования. Весь бизнес-процесс должен быть описан «с нуля», то есть начиная с того момента, как человек попал в кабинет отдела кадров, и заканчивая моментом, когда он занимает своё рабочее место.

Сколько времени заняло у вас внедрение базовых функций?

В. К.: Базовую функциональность мы запустили примерно через год. Это считая от момента подписания первых договоров и до выхода в промышленную эксплуатацию.

А до этого у вас не было никакой IdM-системы?

В. К.: Нет, систему внедрили полностью «с нуля». Раньше всё согласование у нас было через электронную почту: подавались заявки в сервис-деск ИТ. Сейчас мы полностью ушли от «бумажных» заявок и практически все процессы (90 процентов) перевели в IdM-систему.

У вас не было опыта эксплуатации IdM-систем, что же помогло вам сделать выбор? На рынке велико разнообразие решений, как российских, так и западных. Как минимум, можно перечислить пять-шесть.

В. К.: Сначала, конечно, смотрели в сторону российских решений. Сейчас в России в принципе тренд на импортозамещение.

Но мы столкнулись с тем, что решения от российских вендоров — достаточно «сырые», а сами вендоры не готовы предоставлять услуги по обработке аналитики.

Чисто случайно ко мне попал отчёт о выборе IdM-систем в компании «Яндекс.Деньги». Они их достаточно долго «пилотировали». Я каждый год посещаю Уральский форум, там я смог пообщаться с ребятами и вживую.

Большим плюсом стало то, что у One Identity (читайте наш обзор One Identity Manager 8.0) есть конструктор бизнес-процессов. Он позволяет быстро настроить или изменить любой бизнес-процесс, будь то предоставление или согласование доступов. При этом здесь не требуются особенные технические навыки или глубокие знания в программировании, что, несомненно, — ещё один огромный плюс.

А с точки зрения поддержки коннекторов, функциональности интеграции с другими системами что было наиболее важно?

В. К.: One Identity поддерживает достаточно большое количество коннекторов «из коробки». Понятно, что такие специфические системы, как АБС, к примеру, — отдельная тема.

Интеграцию с АБС мы сделали через Jira. У нас АБС находится на аутсорсе, и, соответственно, права нам настраивают наши аутсорсеры, а мы просто сделали для них автоматическую отправку задач.

Кстати, эта интеграция сделана у вас очень интересно. С одной стороны, через Jira вы даёте аутсорсерам задачи на назначение прав в АБС, а с другой — IdM напрямую вычитывает из АБС текущий срез прав и роли, что обеспечивает корректную настройку. И это очень важно именно для информационной безопасности. Таким образом происходит сверка, внутренний аудит прав доступа к АБС.

В. К.: Да, и таким образом все доступы назначаются строго в соответствии с заявкой.

А если что-то вдруг не совпадает, генерируется ли в таком случае инцидент или система устраняет эти противоречия самостоятельно?

В. К.: В таких случаях генерируется инцидент с последующим разбором. Вообще IdM — это очень гибкая система. Сценарии можно настроить какие угодно. Всё зависит от задач организаций и того, как они это видят.

Насколько важны такие технические аспекты, как ресурсоёмкость, поддержка кластеризации и территориально распределённая инфраструктура?

В. К.: IdM — это не та система, которая потребляет большое количество ресурсов. Поэтому по выделению ресурсов под неё у нас вообще не было каких-либо проблем.

А сколько коннекторов вы сейчас используете и сколько целевых систем подключено к IdM-системе?

В. К.: Хороший вопрос. С каждым днём их количество увеличивается. Я бы сказал, что сейчас подключены десять систем. В перспективе моя задача — интегрировать в IdM вообще все системы, в которых есть какие-либо учётные записи и распределение прав доступа.

Мы хотим интегрировать с IdM всё что есть. Это действительно очень облегчает жизнь. Ни сотрудникам информационной безопасности, ни ИТ не надо заботиться о том, что после увольнения сотрудника нужно отозвать его права. Система делает это автоматически.

Я знаю, что одна из систем, которая была подключена, — это система входа по многофакторной аутентификации. Внедрение происходило ещё в 2020 году, во время пандемии, когда начался массовый переход на удалённый режим работы. А у вас люди смогли выходить на работу даже без взаимодействия с рекрутерами. Расскажите, пожалуйста, как удалось реализовать этот «удалённый старт» и как в этом помог IdM.

В. К.: До того как в Москве объявили локдаун, мы обратились в компанию ESET. У них есть очень интересное решение — в отличие от других компаний, они продают по подписке лицензии на мобильное приложение ESET Security Identification для второго фактора аутентификации, и это нас очень выручило в пандемию.

Буквально за два дня все сотрудники в Москве, а потом и вообще больше 90 процентов сотрудников банка безо всяких проблем перешли на удалённый график работы. И в IdM есть очень полезная функция, которая позволяет массово согласовать заявки на доступ. То есть одной кнопкой можно согласовать хоть 500 заявок сразу.

При этом решение от ESET используется в качестве второго фактора аутентификации?

В. К.: Совершенно верно. Мы используем VPN и второй фактор. Нашим людям — тем, кто устраивался на работу, — вообще не пришлось приезжать в офис. Мы им всё сделали удалённо.

То есть весь процесс был автоматизирован с помощью IdM, который им и управлял?

В. К.: При подключении второго фактора на мобильный телефон отправляется SMS-сообщение с QR-кодом либо ссылкой. Эту отправку мы реализовали при помощи IdM.

Говоря об аутентификации, используете ли вы Single Sign-On? У сотрудника только одна учётная запись или для разных целевых систем он использует разные?

В. К.: Для разных систем используются разные учётные записи. В системе IdM нет технологии Single Sign-On, у них другой продукт. Что же касается нас, то мы уже запланировали внедрение данной технологии.

А что вы используете в качестве кадрового источника для IdM?

В. К.: Мастер-системой для IdM выступает 1С. При устройстве на работу человека заводят в 1С, делают приказ о его приёме, и это является основанием для IdM, чтобы создать ему учётную запись. IdM «смотрит», в какое подразделение устраивается человек, а в самой системе реализована ролевая модель, то есть считывая информацию в 1С, система находит соответствующую роль и в соответствии с ней назначает необходимые доступы: создаёт учётную запись, почтовый ящик, выдаёт права на определённые сетевые папки, заводит учётные записи в каких-то конкретных системах и так далее.

То есть не нужно вручную присваивать человеку какую-то роль, она берётся прямо из 1С?

В. К.: Из 1С берутся наименование подразделения и должность, а потом IdM находит это подразделение и соответствующую должность у себя внутри и «видит», что этой должности соответствует определённая роль. В соответствии с этой ролью затем реализуется необходимый сценарий, отыгрывается нужный плейбук.

В итоге человек потратит, допустим, полчаса в отделе кадров, и когда он придёт на своё рабочее место, ему уже будут предоставлены все доступы, он сможет сразу же приступить к работе. И это замечательно. Это позволяет сэкономить три-четыре дня рабочего времени.

Если же сотруднику всё-таки не хватает каких-то прав, для него есть портал самообслуживания, на который он может зайти, выбрать необходимые права в системах и дозапросить их отдельно. Затем всё это уходит на круг согласования также в IdM.

Согласовывать можно как в самой системе, так и по электронной почте, вообще не заходя в систему. Если ты, например, в дороге либо руководитель или согласующее лицо не могут прямо сейчас зайти на портал, они могут сделать согласование через электронную почту.

Как приняли сотрудники это нововведение с порталом?

В. К.: Мы взяли полгода паузы, и сейчас некоторые заявки мы всё ещё принимаем «на бумаге», то есть как файлы по электронной почте. Одновременно работает и портал. Но всем понравилось, потому что люди путаются в заявках, в их огромном количестве — больше 40 разных видов. Здесь же всё намного проще. Люди счастливы!

Есть ли на портале и сброс пароля?

В. К.: Да, есть.

Это очень важно, особенно в условиях удалённой работы. Даже если нет SSO, есть возможность зайти на портал и сбросить пароль. Как известно, самая банальная задача для сисадминов — человек из отпуска вышел и забыл пароль. А что ещё дало интересный бизнес-эффект?

В. К.: Мы — банк, и у нас основные системы — это АБС и ДБО. Все свои основные системы мы уже интегрировали. Сейчас ведётся работа с теми, что ещё остались. Последнее время мы активно занимались наполнением каталога услуг на портале самообслуживания.

А как обстоят дела с управлением доступом для привилегированных пользователей? Вы уже используете какие-то PAM-системы?

В. К.: В этом году у нас есть план перехода на PAM-систему именно от One Identity. Мы планируем сделать интеграцию этих двух систем — IdM и PAM. Во-первых, это — лёгкая интеграция. Во-вторых, у них будет единый интерфейс. И третье — ценовая лицензионная политика у One Identity намного мягче, чем у того вендора, чей продукт у нас стоит сейчас.

Это позволит нам сэкономить, а также использовать PAM-систему не только для внешних контрагентов, но и для внутренних пользователей. Мы хотим развернуть её внутри, чтобы иметь возможность контролировать действия обслуживающего персонала — админов и разработчиков, то есть тех людей, кто работает с конфиденциальной информацией и имеет к ней фактически неограниченный доступ. Таким образом, речь идёт о функции контроля со стороны ИБ, а также о защите учётных записей внутри системы.

А с SIEM-системой вы IdM тоже уже интегрировали?

В. К.: Нет, но чуть позже для передачи инцидентов мы это обязательно сделаем. Мы планируем внедрить SOAR, а сейчас пока SIEM — наша мастер-система для мониторинга и реагирования.

Несколько слов о дальнейших планах. Что хотелось бы донастроить, довнедрить, какие функции IdM-системы задействовать из тех, что на данный момент пока невостребованны?

В. К.: Нам осталось интегрировать предоставление доступа к сетевым папкам. Мы уже начали заниматься этой задачей в текущем году, и я думаю, что к середине года этот вопрос будет закрыт.

Вы хотите, чтобы IdM-система следила также и за доступом к неструктурированным данным?

В. К.: Да, учитывая то что IdM располагает такой функциональностью. При этом стоимость последней у конкурентов One Identity выше в разы. Это — несомненный плюс.

И второе, что хотелось бы реализовать, — это, как я сказал, интеграция с PAM-системой. Внедрение One Identity PAM и интеграция IdM с PAM-системой не только для внешних контрагентов, но и для внутренних сотрудников.

Вот то, что я очень хотел бы реализовать в этом году.

А если говорить о таких прогрессивных функциях, как аттестация прав доступа или разделение полномочий (SoD), когда кто-то запросил на портале роль, а его полномочия конфликтуют с этой ролью?

В. К.: У нас эта функция разделения полномочий уже настроена для операционных сотрудников.

То есть не может быть такого, что я работаю на одной должности и у меня много прав доступа, затем меня перевели в другой отдел, а часть прав у меня осталась и никто это не проверил?

В. К.: Вот как раз с IdM так не получится. Для этого он, собственно, и нужен.

Задам ещё вопрос по поводу регулярной аттестации прав доступа. Регламентировано ли это сейчас технически?

В. К.: Мы всегда делаем упор сначала на техническую составляющую, то есть надо реализовать систему, а потом привести в порядок нормативные документы. В каких-то документах уже прописана функциональность IdM-системы. Мы периодически создаём отчёты, но пока их не автоматизировали, это хорошая идея, я себе запишу.

Небольшой комментарий. Существуют разные подходы. Если выстроена ролевая модель, то всё происходит строго по ней. А когда заявок много, может накапливаться излишний доступ, и тогда уже механизм автоматической перепроверки для каких-то задач может быть очень полезен. Поэтому если такого процесса нет, то это не обязательно плохо. В этом просто может не быть потребности, потому что и так всё достаточно хорошо структурировано.

В. К.: Давайте я расскажу интересный кейс про IdM при переводе из подразделения в подразделение. Группу сотрудников, порядка 50 человек, андеррайтеров, перевели на работу из одного управления в другое. Это было вновь созданное управление, под которое в IdM ещё не было ролевой модели. В отделе кадров его создали и в тот же день через систему 1С одномоментно переместили туда 50 сотрудников. Получилось так, что IdM «не знал», какую роль им назначить, и сотрудники остались вообще безо всех доступов.

Таким образом, коммуникация между сотрудниками отделов кадров и подразделений информбезопасности и ИТ, которые занимаются эскплуатацией IdM, — это очень важный момент.

Также, я думаю, для многих организаций станет большой проблемой плоская организационно-штатная структура. Это когда, например, есть управление безопасности и в нём есть направления информационной безопасности, экономической и физической. В этих направлениях есть свои главные специалисты, ведущие и просто младшие. Так вот, при плоской структуре нет указания, к какому направлению относится должность, то есть просто «главный специалист управления безопасности». А чем он занимается внутри — информационной ли безопасностью или ещё какой-то, — непонятно. Для эффективного функционирования IdM-системы это очень важно, и без этой ясности невозможно корректно назначить соответствующую роль.

Вывод такой: плоская структура не подходит для IdM. Либо нужно, чтобы по приёме сотрудника на работу руководитель вручную вносил в систему информацию о том, к какому именно подразделению относится данный сотрудник. Прямо скажем, это — боль многих организаций, и мы тоже с этим столкнулись.

То есть получается, что для многих организаций внедрение IdM «потянет» за собой и изменение организационно-штатной структуры?

В. К.: Скорее всего — да, так как это необходимо для корректной работы системы.

Уже много времени прошло со старта проекта, и уже есть результаты. Проводите ли вы анализ успешности этого проекта относительно других? Насколько он заметен именно для бизнеса? Как его оценивает топ-менеджмент?

В. К.: У нас есть внутренние показатели: KPI и другие параметры, по которым нас оценивают. Да, конечно, руководство банка оценило, например, то, что сейчас простои практически минимальны. Также нет нареканий со стороны бизнеса по поводу эффективности системы. Моментов, когда кто-то заболел, забыл, ушёл или пропустил письмо, потому что недоглядел, просто нет. Такие моменты полностью закрыты благодаря внедрению IdM.

Спасибо за содержательную беседу! Желаю успехов!