По данным ГК «Солар», в 2024 году около 40% кибератак совершались с помощью скомпрометированных учетных записей, а за 9 месяцев 2025 года 27% проникновений в инфраструктуру происходило через подрядчиков. Злоумышленники используют такие «учетки» для вторжения в инфраструктуру организации и дальнейшего развития атаки «под прикрытием», стремясь повысить привилегии и получить доступ к критическим системам и чувствительным данным.
Поэтому управление доступом становится не просто технической необходимостью, а одним из ключевых элементов защиты корпоративных данных и репутации компании. Эта задача требует системного подхода и автоматизации для эффективного снижения рисков и повышения уровня доверия внутри организации. И совсем не случайно она стала одной из наиболее заметных тем в деловой программе SOC Forum 2025. Вместе с Антоном Залесским, бизнес-архитектором группы управления доступом ГК «Солар», разбираемся, как выстроить комплексное управление доступом.
— Многие компании до сих пор управляют доступами вручную или скипты. В какой момент становится очевидно, что без IdM и PAM дальше нельзя?
Еще в 2024 году примерно 50% компаний не использовали автоматизированные системы управления доступом, а 40% не удаляли учетные записи уволившихся сотрудников и партнеров, с которыми расторгнуты договоры. Такие данные мы получили в ходе исследования с участием более 100 крупных компаний финансового, промышленного, транспортного, логистического сектора.
Мы понимаем, что тогда многие организации стояли перед выбором: стоит ли инвестировать в специализированные решения или достаточно ручного управления? Как показывает аналитика по инцидентам, ставка на ручное управление дает сбой — в 2025 году около 40% успешных атак совершается с помощью скомпрометированных учетных записей, которые за относительно небольшие деньги продаются на «черном рынке». В результате риски человеческого фактора, неизбежные ошибки из-за усталости, невнимательности слишком дорого обходятся бизнесу.
Мы уже отмечаем разворот в позиции компаний: растет спрос на IdM- и PAM-системы, качественные и стабильно работающие технологии, востребованные в сложных распределенных инфраструктурах — в телекоме до малого и среднего бизнеса. У организаций уже сформировалось понимание, какие сценарии являются рискованными и какие технологии необходимы.
IdM-системы помогают «навести порядок» благодаря централизованному контролю и автоматизации управления жизненным циклом учетных записей как собственных сотрудников компании, так и партнеров, подрядчиков.
PAM-системы и многофакторная аутентификация также стали стандартом для крупных компаний в сфере управления доступом. Они закрывают риски, связанные с учетными записями привилегированных пользователей. В отличие от IdM-системы, решение о внедрении PAM-платформы в большей степени относится к компетенции ИБ, так как они напрямую защищают критичные учетные записи и привилегированные доступы.
Сейчас основной вызов для вендоров заключается в том, чтобы сделать возможности IdM- и PAM-систем доступными для организаций различных масштабов, при этом сохранив ключевой функционал в on-premise и «коробочном» формате.
— Часто бывает, что технически система готова, но выдача прав доступа становится головной болью. Особенно остро это проявляется, когда сотрудник с высокими привилегиями может порушить всю систему разом. Скажите, как изменить саму культуру выдачи доступов в компании и как отслеживать их правильность, когда сотрудников не десятки, а тысячи?
Как правило, потребность во внедрении IdM-системы возрастает, когда штат сотрудников компании составляет от 300 человек и более, хотя ранее IdM-системы преимущественно внедрялись в организациях со штатом, который исчислялся тысячами или десятками тысяч сотрудников. Но даже при пороге в несколько сотен человек ручное управление доступом становится неэффективным и возникает потребность в автоматизации, чтобы избежать хаоса в управлении учетными данными пользователей.
В правильно выстроенном процессе за каждой внешней учетной записью всегда должен быть закреплен ответственный сотрудник. В случае его увольнения права куратора передаются другому специалисту. Таким образом, у любой учетной записи должен быть свой владелец. Формирование такой культуры требует выполнения нескольких шагов: сначала процессы необходимо формализовать, затем — обеспечить контроль за их исполнением и, в идеале, — автоматизировать, чтобы они выполнялись с минимальным вмешательством.
Один из последних примеров внедрения IdM-системы в компании среднего масштаба в практике ГК «Солар» — это головной офис медиахолдинга «Игроник». Клиент выбрал коробочную конфигурацию IdM-системы Solar inRights, которая решила три основных задачи: короткие сроки проекта, возможность провести внедрение силами небольшой команды на стороне клиента и стоимость.
Всего за пять месяцев компания автоматизировала управление 300 учетными записями сотрудников организации, которые в рамках коммуникационных кампаний работают с персональными данными и креативными материалами, защищенными авторскими правами. В результате компания до 10 минут сократила время создания новых учетных записей и на 80% снизила объем операций по управлению доступом для ИБ-специалистов.
— Какие самые распространенные ошибки компании допускают при попытке централизовать управление доступом?
Компании нередко стремятся сделать все и сразу, но полный комплекс задач по централизации управления доступом невозможно решить одновременно только силами одной ИБ-команды. Даже при разбивке на этапы проект крайне сложен, и этот план будет неизбежно пересмотрен в процессе.
Зачастую организации пытаются автоматизировать процессы «вслепую». Но мы рекомендуем на старте провести аудит: оценить инфраструктуру, какие учетные, кадровые, управленческие информационные системы внедрены в компании, объем критичных операций и количество сотрудников, их роли и сценарии работы с источниками данных. Не менее важно оптимизировать внутренние процедуры в компании, снизить количество дублирующих процессов.
Не менее важны и лучшие отраслевые практики. Например, по проектам управления доступом мы работаем с финансовым сектором, медицинскими организациями, обладаем экспертизой внедрения IdM-систем в крупных энергетических компаниях. Но во всех проектах с нашими клиентами мы следуем системному подходу: сначала выстраиваем корректные процессы, а затем автоматизируем их.
— Можно ли считать комплексное управление доступами с помощью IdM- и PAM-систем частью Zero Trust-подхода — или это все же отдельный пласт задач?
Практически любая система автоматизации управления доступом вносит вклад в реализацию концепции Zero Trust. Важно понимать, что Zero Trust — это не конкретный продукт, а скорее идеология безопасности. Как только появляется автоматизация, которая обеспечивает своевременный отзыв прав и контроль над существующими привилегиями, — эти процессы становятся практическим воплощением принципов Zero Trust.
При этом ИТ-инфраструктура — система динамичная. Она постоянно меняется: вводятся и выводятся из эксплуатации серверы, эволюционируют ролевые модели. Разным администраторам или контрагентам требуются разные наборы прав. Этот массив ролей должен быть централизованно управляемым. В идеальном сценарии он синхронизируется с IdM, чтобы пользователь понимал, какие права ему запрашивать. Для этого желательно унифицировать ролевую модель всех серверов. Построение такой согласованной структуры ролей позволяет избежать большинства потенциальных проблем.
— Вы упомянули контрагентов. Могут ли возникнуть проблемы при их смене? Например, если сменился поставщик.
Если мы говорим о полноценно автоматизированной системе, то смена контрагента не представляет проблемы. В таком сценарии все учетные записи старого контрагента блокируются, а для нового — создаются и наделяются необходимым набором прав. Таким образом система планово перенастраивается в рамках стандартного процесса.
Сложности возникают там, где процессы не автоматизированы. В этом случае нет гарантии, что все учетные записи сотрудников ушедшего контрагента были своевременно заблокированы. Контрагент не обязан уведомлять клиентов о кадровых перестановках, и в системе могут оставаться активные учетные записи уволившихся сотрудников.
Эту проблему отлично иллюстрируют данные одного из исследований «Солара». Так, 40% компаний не владеют актуальным статусом доступа для внешних контрагентов, в трети компаний доступ прекращается несвоевременно, а почти в половине организаций нет IDM-систем, которые позволяют отозвать полномочия и заблокировать учетные записи сотрудников партнера по завершению контракта. В результате компании накапливают «мертвые» аккаунты и своими руками создают серьезные бреши в инфраструктуре.
Напротив, при автоматизации настройка политик управления доступом для подрядчиков или смена контрагента становится штатной операцией, а без нее этот процесс остается неконтролируемым и несет в себе значительные риски для киберустойчивости организации.
— Какие метрики показывают, что внедрение IdM и PAM-систем действительно повышает безопасность, а не просто создает иллюзию контроля?
Вопрос о метриках информационной безопасности действительно один из самых сложных. На мой взгляд, не существует универсальных и четких количественных показателей, которые бы полностью отражали ее состояние. Безопасность скорее измеряется через управление рисками — мы оцениваем, насколько внедрение новых систем и автоматизация процессов снижают вероятность и потенциальный ущерб от инцидентов.
Безусловно, существуют фундаментальные критерии, такие как конфиденциальность, целостность и доступность данных (модель CIA). Например, PAM-система напрямую повышает доступность для легитимных пользователей, позволяя администратору быстро получить необходимый доступ, и одновременно усиливает конфиденциальность.
Важно понимать, что отсутствие инцидентов — это не метрика. Проблемы в работе инфраструктуры могут быть вызваны множеством причин, не связанных с доступом. Безопасность в большей степени фокусируется на предотвращении утечек, взломов и фальсификаций.
Стабильность же ИТ-системы зависит от целого комплекса факторов: от качества кода и надежности «железа» до физической защиты дата-центров.
— Что важнее: строгая централизованная политика доступа или гибкость для бизнес-подразделений?
Универсального подхода не существует, и здесь действительно необходим сбалансированный курс. Например, для производственных процессов системы безопасности должны быть адаптированы под их специфику, так как остановка конвейера вызовет критические последствия для компании. В то же время для гибких и динамичных команд важно, чтобы сотрудники строго следовали правилам безопасности. Пренебрежение этими нормами может привести к утечке важной информации — будь то исходный код, архитектурные решения или другие данные.
Таким образом, политика защиты информации всегда должна учитывать специфику бизнеса и выстраиваться с учетом уникальных рабочих процессов каждой организации.
— Как вы видите будущее управления доступом: больше автоматизации, больше ИИ или все-таки человек будет решать ключевые вопросы?
Решения по управлению доступом начинают стремиться к большей универсальности. Например, когда у сотрудника возникает потребность в определенном доступе, он должен иметь возможность получить его незамедлительно.
Можно представить сценарий, в котором сама система при возникновении такой потребности автоматически создает заявку, определяет необходимость согласований, при необходимости получает их — и сотрудник может сразу воспользоваться нужным ресурсом. Для этого должна быть достигнута полная интеграция всех компонентов: программных продуктов, систем искусственного интеллекта и заявочных систем, таких как ITSM.
Если же говорить о более реалистичной перспективе, без повсеместного использования ИИ и продвинутых визуальных инструментов, то оптимальной целью является грамотно выстроенная ролевая модель. Для этого необходимо проанализировать бизнес-процессы компании, должностные и функциональные обязанности, а затем создать такую систему ролей, которая максимально сократит необходимость для сотрудников вручную запрашивать дополнительные права доступа.
— Как доказать бизнесу, что внедрение IdM или PAM-системы — это не просто дополнительные расходы на безопасность, а инвестиция в благосостояние компании? Приведите самый яркий пример из вашей практики, где такая система спасла от реальных финансовых потерь.
Публичных данных о финансовых потерях нет, но интерес к скомпрометированным учетным данным неизменно растет. Например, в 2024 году почти в 25 раз по сравнению с 2019 годом выросло количество лотов, опубликованных на теневых площадках, которые содержали данные для доступа к корпоративным сетям компаний.
Самыми дорогими лотами, конечно же, являются уязвимости нулевого дня, но котируются и учетные записи — до 150 долларов за аккаунт и до 1000 долларов за базу персональных данных. Поэтому за сравнительно небольшие деньги злоумышленники могут реализовать атаку, которая приведет к существенным рискам для бизнеса. Как показывают данные наших расследований, около 40% успешных атак происходят через своевременно не заблокированные учетные записи.
Поэтому комплексный подход к управлению доступом на базе IdM и PAM-систем позволяет не только предотвратить такие сценарии, но и своевременно обнаруживать попытки несанкционированного проникновения.
С 20 декабря 2024 года в России также действует национальный стандарт для систем автоматизированного управления учетными записями и правами доступа. Этому стандарту должны следовать организации с государственным участием и те компании, для которых требования ГОСТов являются обязательными при реализации ИБ-стратегии. Поэтому для них вопрос использовать IdM-систему не столько актуален, сколько носит практический характер: как грамотно выстроить процесс внедрения и эксплуатации.
В подготовке отмеченного ГОСТа приняли участие крупнейшие компании ИБ-рынка — «Солар», «Газинформсервис», «InfoWatch» и др. Наша общая экспертиза позволила сформировать рекомендации, как привести различные системы управления доступом к единой модели управления, каким образом построить управление ролевой моделью организации, индивидуальным и групповым доступом и упорядочить процедуры управления доступом. Кроме того, в документ вошли положения о контроле соответствия легальным и фактическим правам доступа, эталонной матрице прав доступа пользователей, в том числе для отслеживания несанкционированных изменений учетных записей и прав доступа.
— Напоследок. Какой совет вы дадите по балансировке между удобством для сотрудников и безопасностью системы?
Информационная безопасность — это не барьер, а партнер для бизнеса. Ее цель заключается в том, как найти безопасное решение задачи для компании. А мы как вендор стремимся, чтобы наши технологии были удобными для пользователей.
Следующим фактором для достижения этого баланса между безопасностью и удобством является модель угроз и регулярная оценка рисков. Именно она дает нам понимание того, где необходим строгий контроль учетных записей пользователей, а где можно предоставить сотрудникам больше гибкости. Сотрудники ИБ могут ужесточать меры там, где риски высоки, и ослаблять контроль в областях с минимальной угрозой, поддерживая безопасность и операционную эффективность.
В развитии продуктового портфеля управления доступом мы определили несколько приоритетов: экосистемность и возможность легкой интеграции наших технологий с решениями других российских вендоров, функциональность, поддержка сценариев использования и масштабируемость.
Кроме того, мы наращиваем пул интеграций с отечественными вендорами, включая технологические подразделения ИТ-холдинга «Т1», ГК «Астра», «СберТех», VK Tech и др.
Таким образом, клиенты могут реализовывать комплексные проекты и гибко настраивать наши решения с уже используемыми в инфраструктуре продуктами других компаний. Подобный подход позволяет нам охватить несколько клиентских сегментов и создает возможности для наших партнеров по развитию бизнеса, используя технологии «Солара».