Wallix/СКДПУ – дополнительная защита и усиление контроля

А. НОВОЖИЛОВ: «Использование нашего решения позволяет не только идентифицировать злоумышленников или непрофессиональных сотрудников, но и повысить дисциплину и качество работы как штатных сотрудников, так и внешних подрядчиков»

Проблема банковской безопасности уже достаточно давно перешла в разряд самых актуальных для финансового рынка. Но обычно ее рассматривают в контексте внешних «нападений», а, между тем, как говорят специалисты, недобросовестные или неумелые пользователи критически важных ИТ-систем способны нанести банкам больше вреда, чем внешние хакеры. О том, как помогает минимизировать эти риски система Wallix/СКДПУ, рассказал в интервью NBJ генеральный директор ООО «АйТи БАСТИОН» Александр НОВОЖИЛОВ.

NBJ: Александр, вопрос о необходимости контроля за действиями привилегированных пользователей банковских систем в последнее время поднимается чаще, чем это было раньше, но все же его сложно отнести к числу топовых. По Вашему мнению, с чем это связано?

А. НОВОЖИЛОВ: То, что он оказывается на повестке дня все чаще, нас не удивляет: это объясняется возрастающим пониманием того, что данная проблема существует. К настоящему моменту большинство крупных российских компаний, в том числе и банков, уже построили периметры безопасности вокруг своих систем, внедрили межсетевые экраны и антивирусы. И, казалось бы, можно успокоиться. Но при этом открытой остается дорога пользователей к самым критичным ИТ-системам. При этом речь идет не о тех, кто действует нелегитимно. Мы как раз в данном случае говорим о специалистах, которые обладают соответствующим функционалом и полномочиями и, кроме того, являются технически подготовленными.

NBJ: И эти люди при определенном раскладе способны нанести банку вред?

А. НОВОЖИЛОВ: Да. Причем необязательно, что они при этом будут непременно действовать из злого умысла, хотя и такую мотивацию нельзя исключить. Не случайно же Центральный банк России констатировал, что возрастают риски, связанные с тем, что из-за сокращения сотрудников в департаментах ИТ и ИБ многие пользователи оказываются на улицах, зачастую без средств к существованию. Нет ничего удивительного в том, что некоторые из них…

NBJ: Переходят «на темную сторону силы»?

А. НОВОЖИЛОВ: Вот именно. Они могут передавать злоумышленникам ту информацию, которую за годы работы в банке аккумулировали об ИТ-системах, они могут вливаться в преступные группировки или даже сами создавать их, поскольку, повторюсь, они являются достаточно квалифицированными специалистами в сфере ИТ. Понятно, что подобные прецеденты обычно не получают какой-либо огласки в СМИ: банки, где работали эти люди, не хотят, чтобы на них падала тень и их репутация страдала из-за действий бывших сотрудников.

Возникает вопрос, как можно минимизировать эти риски. Полностью отключать для пользователей доступ нельзя, поскольку эти сотрудники поддерживают работу критически важных для банков систем. Остается один вариант – контролировать их действия.

NBJ: Но Вы дали понять, что российские финансово-кредитные организации пока не осознают в должной мере важность этой проблемы.

А. НОВОЖИЛОВ: Я считаю, что причиной тому отсутствие должной коммуникации между службами ИБ и руководством банков. В стандартной ситуации, когда «безопасники» начинают говорить топ-менеджерам о необходимости внедрения системы контроля за действиями пользователей, топ-менеджеры отмахиваются: мол, есть дела и поважнее. Отношение «топов» меняется, когда до них доходит информация о том, что к критичным с точки зрения банков системам имеют доступ какие-то люди, которые могут сделать с ними все, что им заблагорассудится.

NBJ: Но эти люди – штатные сотрудники банка, не так ли?

А. НОВОЖИЛОВ: Необязательно. Бизнес по сопровождению ИТ-систем устроен так, что могут быть внешние или внутренние подрядчики. Причем если дело идет о внешних подрядчиках, то это могут быть люди, находящиеся отнюдь не в России, а на территории других стран. И вот когда руководитель узнает об этом, его мир рушится: он неожиданно отдает себе отчет в том, что понятия не имеет, кто эти люди и каковы их дальнейшие планы. И он, конечно же, не имеет никакой возможности контролировать их деятельность.

NBJ: Бесспорно, проблема есть, и она очевидна. Но, наверное, мало донести информацию о ее наличии до руководства банка – надо предложить финансово-кредитной организации способ если не полностью ее решить, то снять ее остроту. 

А. НОВОЖИЛОВ: Вы совершенно верно говорите о том, что полностью устранить те риски, о которых мы говорили выше, нельзя. Однако внедрение и использование разработанной ООО «АйТи БАСТИОН» системы Wallix/СКДПУ позволяют существенно минимизировать их.

Нас иногда спрашивают: неужели ваша система позволяет выявить всех злоумышленников, заблокировать все ошибочные команды или команды, отданные недобросовестными пользователями? Мы в таких случаях честно говорим, что, конечно же, нет, поскольку это в принципе невозможно. Но наша система – это своего рода веб-камера, которая расположена над головами пользователей и отслеживает их действия. В некотором смысле это очень серьезный психологический фактор: исследования показывают, что порядка 60–70% людей готовы совершать преступления при условии, что их никогда не смогут привлечь за это к ответственности. А вот когда такой уверенности нет и, напротив, есть основания полагать, что тебе придется ответить за твои поступки, – это совсем другое дело и совсем другое поведение со стороны людей.

Кстати, я должен сказать, что из своего общения с банкирами мы убедились в том, что, по идее, больше всего должны быть заинтересованы во внедрении и использовании системы Wallix/СКДПУ и систем аналогичного класса даже не службы безопасности банков, а именно ИТ-службы.

NBJ: Почему? 

А. НОВОЖИЛОВ: Представьте себе стандартную ситуацию: под руководством ИТ-директора находится 30 пользователей, за которых он отвечает как руководитель департамента или управления. Соответственно, его прямой интерес в том, чтобы знать, чем они занимаются и как используют свое рабочее время.

Другой момент: ни для кого ведь не является секретом, что для этих служб характерна «текучка» кадров, соответственно, их руководителям часто приходится иметь дело с новыми сотрудниками. Как понять, насколько квалифицированным является новичок? Опыт показывает, что тесты зачастую не дают на это однозначного ответа и, как говорится, критерием истины является практика. Наша система позволяет в том числе отследить, сколько времени новый сотрудник тратит на решение той или иной задачи, как часто он совершает ошибки – в целом, насколько он соответствует занимаемой должности и ожиданиям своего руководства.

Третий момент или, точнее, сценарий, который является достаточно расхожим, когда речь идет о банковских ИТ-системах. ИТ-директора должны, по идее, контролировать не только действия штатных сотрудников своих департаментов или управлений, но и работу внешних подрядчиков, осуществляющих сопровождение банковских систем. Конечно, обычно подписываются SLA, где прописывается, сколько времени в день, в неделю или в месяц подрядчики должны тратить на осуществление диагностики систем, на их обновление и т.д. Но одно дело прописать – и совсем другое дело проследить, выполняют ли подрядчики свои обязательства по SLA! На словах, конечно, они бодро рапортуют о том, что делают все в лучшем виде. В каких-то случаях это соответствует действительности, в каких-то – явно нет. Но если внешние подрядчики будут знать, что за ними также следит наша «веб-камера», то качество их работы заметно повысится, что, в свою очередь, устранит еще одну «головную боль» для руководителей ИТ-служб.

NBJ: По Вашему опыту, ИТ-директора в полном мере осознают те плюсы, которые им может дать внедрение и использование системы Wallix/СКДПУ?

А. НОВОЖИЛОВ: К сожалению, не всегда и, более того, иногда они не соглашаются с тем, что использование системы выгодно в первую очередь для них, потому что в банках имеет место конфликт между ИТ-службой и службой ИБ. Зачастую в финансово-кредитных организациях реализуется модель управления, в соответствии с которой служба ИБ стоит на ступеньку ниже, чем ИТ-служба, и находится в подчинении у второй. Поэтому когда руководитель службы ИБ пытается согласовать с ИТ закупку такой системы, то он не всегда, но часто сталкивается с негативной реакцией. Руководителя службы ИТ приводит в негодование мысль о том, что за действиями пользователей, которые находятся в его подчинении, будет установлен контроль в онлайн-режиме. Он рассматривает это и как знак недоверия к своим подчиненным, и как знак недоверия к себе.

NBJ: Но это же не сказать, чтобы верный управленческий подход.

А. НОВОЖИЛОВ: Конечно, это неверно. Речь в данном случае, как я уже сказал, идет не о недоверии, а о том, чтобы ввести в работу банка, в деятельность пользователей ключевых банковских систем еще один дисциплинирующий инструмент. Однако, как Вы понимаете, если имеет место конфликт между службами ИТ и ИБ, то очень сложно бывает убедить ИТ-директора, что ему самому действительно нужна система Wallix/СКДПУ.

NBJ: Вопрос, который всегда возникает, когда речь идет о новых системах: как обстоят дела с «техникой», насколько легко или, напротив, сложно, внедряется решение в общий ИТ-ландшафт банка и насколько оно «дружелюбно» по отношению к уже действующим системам?

А. НОВОЖИЛОВ: Вы как раз указали на то, что мы также считаем сильной стороной нашего предложения. Технически инсталляция системы Wallix/СКДПУ происходит очень легко, практически не требуется никакого вмешательства в инфраструктуру, не возникает «разрывов» в ней. И работать с этим продуктом так же просто. Конечно, периодически надо производить обновления, потому что мы, конечно же, не подразумеваем, что речь идет о некоем неизменном решении. ООО «АйТи БАСТИОН» продолжает работать над ним, последовательно расширяя его функционал, но при этом сознательно оставляя максимально простой интерфейс, чтобы у наших партнеров не возникало сложностей при работе с нашим продуктом.

 

мнение эксперта

Кирилл ВИКТОРОВ,

Директор по развитию бизнеса ООО «АйТи БАСТИОН»

Функциональность системы Wallix/СКДПУ, которую предлагает наша компания, достаточно обширна. Сегодня мы видим несколько распространенных сценариев использования СКДПУ. Первый – решение проблемы бесконтрольного доступа собственных администраторов и персонала подрядчиков и аутсорсеров к банковским системам. Wallix/СКДПУ функционирует как единая «точка входа»: чтобы пройти к целевым системам, пользователь, если можно так сформулировать, должен «пройти» через нас. После этого мы можем контролировать все его дальнейшие действия: он, конечно, может допустить ошибки либо совершить злонамеренные действия с системой, к которой он имеет доступ. Но все его «движения» будут фиксироваться, об особо критичных будет направлено оповещение сотрудникам службы безопасности. Более того, если пользователь введет команду, которая может нанести вред, то она будет заблокирована. В дальнейшем, при «разборе полетов», не составит труда идентифицировать этого человека.

Второй сценарий – повышение надежности за счет сокращения времени простоя банковских систем. Например, происходит сбой системы – в обычной ситуации поиск причины аварии и процесс ее ликвидации занимает до нескольких часов. Пятнадцать минут уходит на оценку ситуации и принятие решения о привлечении разработчика/аутсорсера. От сорока пяти минут до часа – на приезд на площадку банка или организацию удаленного доступа. Итог – прошел час, а «воз и ныне там». В случае же, когда есть инструмент, который осуществляет контроль за действиями привилегированных пользователей в режиме онлайн, временные издержки на поиск причин сбоя, поиск ответственных и сам процесс ликвидации аварии многократно сокращаются.

Система Wallix/СКДПУ позволяет банку получить более высокий уровень SLA, не снижая при этом уровень защищенности банковских систем и не повышая расходы на персонал.