Цифровая трансформация меняет не только бизнес-модели, но и подходы к корпоративной безопасности. Границы периметра стерлись: сотрудники работают удаленно, сервисы переместились в облако, а бизнес-процессы связаны с десятками внешних партнёров. Все чаще ключевым фактором риска становится не уязвимость системы, а неконтролируемый доступ.
В современной компании данные не существуют изолированно — с ними всегда взаимодействуют конкретные пользователи и сервисы. Поэтому их защита невозможна без понимания того, кто, зачем и на каких условиях получает к ним доступ.
Сегодня компании начали отходить от традиционных подходов к информационной безопасности, ориентированных на защиту периметра. На смену приходит подход Identity-Centric Security, когда безопасность выстраивается вокруг идентичности.
В статье расскажем, в чем особенности Identity-Centric Security и как он поможет компаниям снизить риски информационной безопасности и оптимизировать процессы.
Когда легитимный доступ становится угрозой
Современные инциденты все реже начинаются с технического взлома. Злоумышленники чаще получают доступ к инфраструктуре, используя легитимные учетные данные. Но здесь нужно оговориться: они легитимные только на первый взгляд. Как показывает практика, часто в компаниях нет единой видимости по учетным записям, из-за чего возникают так называемые слепые зоны, например: сотрудник или подрядчик меняет роль, завершает проект, но права остаются активными или избыточными.
Отсутствие контроля доступа к данным внутри компании может привести к серьезным последствиям: утечкам конфиденциальной информации из-за «накопленных» привилегий у сотрудников и подрядчиков, финансовым потерям от простоев и штрафов, а также репутационному ущербу и нарушению регуляторных требований. Так, по оценкам IBM, 51% всех утечек данных в мире были результатом злонамеренных атак, а средняя стоимость утечки составляет около $4,44 млн за инцидент.
Показательный пример — масштабная кибератака на британского автопроизводителя Jaguar Land Rover (JLR) в августе 2025 года. Злоумышленники получили доступ к инфраструктуре компании, используя учетные данные сотрудника подрядчика. Формально доступ был легитимным, но его использование вышло за рамки бизнес-задач и осталось незамеченным на раннем этапе. Последствием атаки стала не только остановка сборки автомобилей, но и масштабное воздействие на цепочку поставок и экономику в целом. Компания JLR понесла прямые затраты в размере около 196 млн фунтов на реагирование и восстановление после атаки.
Можно вспомнить и другие инциденты, например атаку на компанию Colonial Pipeline в 2021 году, результатом которой стала остановка крупнейшего топливопровода в США. Взлом систем начался с того, что злоумышленники получили доступ к одной учётной записи с удаленным доступом, которая не была своевременно отключена.
Во многих компаниях процессы управления доступами выстроены хаотично и (или) вокруг отдельных учетных записей. Даже если процессы формально существуют, они не учитывают динамику бизнеса — роли, проекты, поведение человека и т. д. Поэтому у компаний нет ответа на базовые вопросы: кто сейчас имеет доступ к критичным системам и данным, на каком основании и как долго.
Такая модель создает сразу несколько проблем:
- Слепые зоны — отсутствие единой картины по всем доступам, что мешает выявлять аномалии.
- Невозможность следовать принципу минимальных привилегий — права «накапливаются» без отзывов.
- Высокие издержки на рутину и согласования вместо стратегических задач.
- Низкая скорость онбординга/оффбординга и изменений ролей.
- Увеличение рисков ошибок и инцидентов из-за человеческого фактора.
В свою очередь новый подход — Identity-Centric Security — решает эти проблемы и делает безопасность встроенной частью бизнес-процессов, так как в центре внимания оказывается цифровая идентичность пользователя, а не отдельная система или сегмент сети.
Как работает Identity-Сentric Security
Цифровая идентичность — это совокупность атрибутов, описывающих конкретного пользователя в цифровой среде: его роль, должность, устройство, права доступа, проекты, в которых он участвует, поведенческие характеристики и историю действий.
Это не просто учетная запись, а полный контекст того, кем человек является в корпоративной экосистеме и как он взаимодействует с ресурсами компании. Именно цифровая идентичность становится центральным элементом новой модели безопасности. Под цифровой идентичностью мы понимаем не только сотрудника компании, внешнего подрядчика или партнера, но и сервисную или техническую учетную запись, автоматизированный процесс или приложение.
Реализует этот подход класс решений по управлению доступом к данным, которые обеспечивают безопасность с учетом полной информации о пользователе и контексте его взаимодействия с данными.
Рассмотрим на примере, как это работает. Представим, что в компанию в отдел маркетинга приходит новый сотрудник — Лиора — на должность руководителя направления. В день выхода Лиоры система управления доступом создает для нее цифровую идентичность с атрибутами: Должность = Руководитель направления; Отдел = Маркетинг; Локация = Новосибирск; Статус = Активен.
Далее, на основе настроенных в системе бизнес-политик, автоматически выдаются права доступа к сервисам и данным. В случае с Лиорой это будет выглядеть так:
- Если Отдел = Маркетинг, то предоставить доступ к пространству «Маркетинг» в базе знаний и к папке «Marketing_Shared» на сервере.
- Если Должность = Руководитель направления, то предоставить доступ к CRM с правами «редактирование отчетов» и к папке «Бюджеты_Маркетинг» с правом «запись».
- Все сотрудники со Статус = Активен получают учетную запись в корпоративную сеть.
Если в процессе работы Лиора попытается поместить какие-то чувствительные документы в папки других сотрудников, чьи бизнес-роли не предполагают работу с такими данными, система не позволит ей это сделать.
Проходит полгода, и Лиору повышают до директора по продукту. Тогда специалист отдела кадров вносит изменения в поле «Должность», и система управления доступом автоматически отзывает права, привязанные к старой должности, а также назначает на основе бизнес-политик новые права, которые соответствуют директору по продуктам.
Все изменения журналируются и проходят необходимые согласования в соответствии с настроенными бизнес-процессами.
Что дает такой подход:
- Снижение операционных затрат за счет автоматизации онбординга, оффбординга и изменения доступов.
- Сокращение числа ошибок благодаря минимизации ручного вмешательства.
- Повышение скорости бизнес-процессов — доступы предоставляются на основе ролей и бизнес-правил.
- Прозрачность и контроль — в любой момент можно получить полную картину по доступам и правам.
- Как результат — снижение рисков инцидентов информационной безопасности и злоупотреблений.
Вывод
Сегодня защита информации невозможна без понимания того, кто получает доступ, какие именно права у него есть и почему. Данные нужно защищать в контексте цифровой идентичности.
Identity‑centric подход формирует полноценную картину цифрового окружения. Это позволяет выстроить действительно эффективную систему защиты и оптимизировать процессы, снизить вероятность утечек и инцидентов, а также реальные финансовые издержки.
АВТОР: Павел Еременко
Владелец продукта Avanpost DAG