Identity-Сentric Security: как управление цифровыми идентичностями повышает эффективность бизнеса

Павел Еременко - Владелец продукта Avanpost DAG. Цифровая трансформация меняет не только бизнес-модели, но и подходы к корпоративной безопасности. Границы периметра стерлись: сотрудники работают удаленно, сервисы переместились в облако, а бизнес-процессы связаны с десятками внешних партнёров. Все чаще ключевым фактором риска становится не уязвимость системы, а неконтролируемый доступ.

В современной компании данные не существуют изолированно — с ними всегда взаимодействуют конкретные пользователи и сервисы. Поэтому их защита невозможна без понимания того, кто, зачем и на каких условиях получает к ним доступ. Сегодня компании начали отходить от традиционных подходов к информационной безопасности, ориентированных на защиту периметра. На смену приходит подход Identity-Centric Security, когда безопасность выстраивается вокруг идентичности. В статье расскажем, в чем особенности Identity-Centric Security и как он поможет компаниям снизить риски информационной безопасности и оптимизировать процессы.  Когда легитимный доступ становится угрозой Современные инциденты все реже начинаются с технического взлома. Злоумышленники чаще получают доступ к инфраструктуре, используя легитимные учетные данные. Но здесь нужно оговориться: они легитимные только на первый взгляд. Как показывает практика, часто в компаниях нет единой видимости по учетным записям, из-за чего возникают так называемые слепые зоны, например: сотрудник или подрядчик меняет роль, завершает проект, но права остаются активными или избыточными. Отсутствие контроля доступа к данным внутри компании может привести к серьезным последствиям: утечкам конфиденциальной информации из-за "накопленных" привилегий у сотрудников и подрядчиков, финансовым потерям от простоев и штрафов, а также репутационному ущербу и нарушению регуляторных требований. Так, по оценкам IBM, 51% всех утечек данных в мире были результатом злонамеренных атак, а средняя стоимость утечки составляет около $4,44 млн за инцидент. Показательный пример — масштабная кибератака на британского автопроизводителя Jaguar Land Rover (JLR) в августе 2025 года. Злоумышленники получили доступ к инфраструктуре компании, используя учетные данные сотрудника подрядчика. Формально доступ был легитимным, но его использование вышло за рамки бизнес-задач и осталось незамеченным на раннем этапе. Последствием атаки стала не только остановка сборки автомобилей, но и масштабное воздействие на цепочку поставок и экономику в целом. Компания JLR понесла прямые затраты в размере около 196 млн фунтов на реагирование и восстановление после атаки. Можно вспомнить и другие инциденты, например атаку на компанию Colonial Pipeline в 2021 году, результатом которой стала остановка крупнейшего топливопровода в США. Взлом систем начался с того, что злоумышленники получили доступ к одной учётной записи с удаленным доступом, которая не была своевременно отключена. Во многих компаниях процессы управления доступами выстроены хаотично и (или) вокруг отдельных учетных записей. Даже если процессы формально существуют, они не учитывают динамику бизнеса — роли, проекты, поведение человека и т. д. Поэтому у компаний нет ответа на базовые вопросы: кто сейчас имеет доступ к критичным системам и данным, на каком основании и как долго. Такая модель создает сразу несколько проблем:

Слепые зоны — отсутствие единой картины по всем доступам, что мешает выявлять аномалии. Невозможность следовать принципу минимальных привилегий — права «накапливаются» без отзывов. Высокие издержки на рутину и согласования вместо стратегических задач. Низкая скорость онбординга/оффбординга и изменений ролей. Увеличение рисков ошибок и инцидентов из-за человеческого фактора.

В свою очередь новый подход — Identity-Centric Security — решает эти проблемы и делает безопасность встроенной частью бизнес-процессов, так как в центре внимания оказывается цифровая идентичность пользователя, а не отдельная система или сегмент сети. Как работает Identity-Сentric Security Цифровая идентичность — это совокупность атрибутов, описывающих конкретного пользователя в цифровой среде: его роль, должность, устройство, права доступа, проекты, в которых он участвует, поведенческие характеристики и историю действий. Это не просто учетная запись, а полный контекст того, кем человек является в корпоративной экосистеме и как он взаимодействует с ресурсами компании. Именно цифровая идентичность становится центральным элементом новой модели безопасности. Под цифровой идентичностью мы понимаем не только сотрудника компании, внешнего подрядчика или партнера, но и сервисную или техническую учетную запись, автоматизированный процесс или приложение. Реализует этот подход класс решений по управлению доступом к данным, которые обеспечивают безопасность с учетом полной информации о пользователе и контексте его взаимодействия с данными. Рассмотрим на примере, как это работает. Представим, что в компанию в отдел маркетинга приходит новый сотрудник — Лиора — на должность руководителя направления. В день выхода Лиоры система управления доступом создает для нее цифровую идентичность с атрибутами: Должность = Руководитель направления; Отдел = Маркетинг; Локация = Новосибирск; Статус = Активен. Далее, на основе настроенных в системе бизнес-политик, автоматически выдаются права доступа к сервисам и данным. В случае с Лиорой это будет выглядеть так:

Если Отдел = Маркетинг, то предоставить доступ к пространству «Маркетинг» в базе знаний и к папке «Marketing_Shared» на сервере. Если Должность = Руководитель направления, то предоставить доступ к CRM с правами «редактирование отчетов» и к папке «Бюджеты_Маркетинг» с правом «запись». Все сотрудники со Статус = Активен получают учетную запись в корпоративную сеть.

Если в процессе работы Лиора попытается поместить какие-то чувствительные документы в папки других сотрудников, чьи бизнес-роли не предполагают работу с такими данными, система не позволит ей это сделать. Проходит полгода, и Лиору повышают до директора по продукту. Тогда специалист отдела кадров вносит изменения в поле «Должность», и система управления доступом автоматически отзывает права, привязанные к старой должности, а также назначает на основе бизнес-политик новые права, которые соответствуют директору по продуктам. Все изменения журналируются и проходят необходимые согласования в соответствии с настроенными бизнес-процессами. Что дает такой подход:

Снижение операционных затрат за счет автоматизации онбординга, оффбординга и изменения доступов. Сокращение числа ошибок благодаря минимизации ручного вмешательства. Повышение скорости бизнес-процессов — доступы предоставляются на основе ролей и бизнес-правил. Прозрачность и контроль — в любой момент можно получить полную картину по доступам и правам. Как результат — снижение рисков инцидентов информационной безопасности и злоупотреблений.

Вывод Сегодня защита информации невозможна без понимания того, кто получает доступ, какие именно права у него есть и почему. Данные нужно защищать в контексте цифровой идентичности. Identity‑centric подход формирует полноценную картину цифрового окружения. Это позволяет выстроить действительно эффективную систему защиты и оптимизировать процессы, снизить вероятность утечек и инцидентов, а также реальные финансовые издержки.