Эксперты заявили, что ручная установка доступа к информационным системам создает риски

Решить эту проблему можно с помощью систем автоматического управления доступом, однако препятствием к их внедрению до сих пор остается стоимость и необходимость индивидуальной разработки под правила конкретной компании, пишет газета «Коммерсантъ» со ссылкой на исследование, проведенное «Ростелеком-Солар».

Опрос проводился среди более 200 организаций. Так, в прошлом году 20% из них столкнулись с инцидентами в области информбезопасности, связанными с правами доступа работников. При этом 46% организаций заявили о средней и высокой критичности инцидентов.

В исследовании отмечается, что уровень доступа к информационным системам у разных специалистов в компаниях отличается, а при ручной установке могут быть ситуации, когда работник получит избыточные права или, к примеру, сохранит их после увольнения. Это в итоге создаст дополнительные возможности для мошенников.

Глава департамента аудита информационной безопасности Infosecurity a Softline Company Сергей Ненахов отметил, что со временем и модернизацией инфраструктуры надобность использования ряда аккаунтов пропадает, системные администраторы про них забывают и не удаляют, а они могут иметь легкие пароли и состоять в привилегированных группах, что является лакомым кусочком для хакеров.

При этом ни у одной опрошенной аналитиками компании не было полной автоматизации управления правами доступа. Более 50% респондентов заявили о «полной неудовлетворенности» или «средней удовлетворенности» существующей в фирмах системой. Еще больше недовольны используемыми решениями и подходами представители частных компаний — 58% и 52% соответственно в госорганизациях.

Руководитель направления по управлению доступом Центра прикладных систем безопасности «Инфосистемы Джет» Татьяна Лабеева подчеркнула, что разработка и введение в эксплуатацию автоматизированной системы доступа слишком дорогие и «несопоставимы с выгодами от ее внедрения». В период с 2014 по 2018 годы в нашей стране реализовали всего 99 проектов систем управления доступа, однако даже это в два раза больше, чем в 2009-2013 годах.

Ведущий эксперт направления «Информационная безопасность» «Крок» Александр Черныхов в свою очередь добавил, что в мире практически нет компаний, в которых процесс управления правами доступа был полностью автоматизирован.

Эксперт по информационной безопасности Денис Батранков сделал аналогичное заявление. По его словам, на Западе некоторые фирмы отдают задачу по контролю управления доступом на аутсорсинг, так как этом выходит дешевле, чем заниматься наймом специалиста в штат компании. В России так делать не принято, потому что боятся утечки информации и не доверяют другим компаниям.

Батранков считает, что главная проблема с внедрением систем автоматизации доступа заключается в том, что они стоят дорого, сложны в разработке и требуют индивидуализации под каждого клиента, а также постоянной поддержки. К тому же сложности возникают из-за кастомизации.

Ранее стало известно, что Сбербанк обсуждает с Центробанком смягчение регулирования по кредитам, предоставляющихся с учетом ESG-принципов (Environmental, Social and Corporate Governance — окружающая среда, соцответственность и корпоративное управление). Кредитная организация считает, что такие заемщики фундаментально стабильнее, следовательно, риск по невыплатам у них гораздо ниже.