От обязательной меры к риск-ориентированной модели: эксперты Айдентити Клуба о будущем МФА

26 февраля в Москве состоялась очередная встреча Айдентити Клуба, организованная при поддержке компании «Индид», российского разработчика решений в области защиты идентификационных данных. Участники обсудили практические кейсы внедрения многофакторной аутентификации (МФА) и затронули вопросы зрелости российских решений в области Identity Security.

С приветственным словом выступил Алексей Баранов, генеральный директор компании «Индид»:

«Ландшафт угроз и практики защиты меняются слишком быстро, а цена ошибки для бизнеса остается высокой. Именно поэтому год назад мы объединили представителей российского бизнес-сообщества и экспертов по информационной безопасности в рамках Айдентити Клуба.

Для нас важно поддерживать регулярное общение с профессиональным сообществом, разбирать реальные кейсы внедрения и эксплуатации решений, обсуждать практические сценарии, требования к инфраструктуре и организационным процессам, а также подходы, которые помогают повышать устойчивость компаний. Иногда такой разговор эффективнее вести в камерном формате, но неизменно с той же глубиной и практической направленностью. Благодарю резидентов Клуба за вовлеченность и готовность делиться экспертизой: Айдентити Клуб — это сообщество, которое мы развиваем совместно с вами».

Алексей Баранов, генеральный директор компании «Индид».

Алексей добавил:

«В 2026 году мы планируем расширять тематику встреч, приглашать новых участников и докладчиков, чтобы в дискуссии звучала более широкая повестка, включая опыт наших партнеров, заказчиков и коллег по рынку. Отдельное внимание уделим разбору реальных инцидентов и взломов: важно говорить о причинах, последствиях и практических выводах, которые можно применить в работе уже сегодня. Уверен, это будет особенно содержательный и откровенный разговор, который позволит всем участникам укрепить профессиональные ориентиры и сформировать более зрелые подходы к защите айдентити».

МФА как элемент архитектурной трансформации

Деловую программу открыл Руслан Ложкин, директор департамента кибербезопасности АКБ «Абсолют Банк» (ПАО). В своем выступлении он подчеркнул, что внедрение МФА в банковском секторе — это не просто реализация регуляторных требований, а возможность пересмотра всей модели контроля административного доступа. По его словам, именно переход от формального выполнения норм к архитектурному переосмыслению процессов становится ключевым фактором зрелости компании.

«Формально наш проект стартовал в связи с требованиями ГОСТ Р 57580.1-2017: многофакторная аутентификация для привилегированных пользователей обязательна. Но мы сразу понимали, что “внедрить по требованиям” — недостаточно. Если ограничиться формальным выполнением, это будет просто отметка в отчете. Поэтому мы использовали этот момент как повод пересмотреть всю модель контроля административного доступа — от принципов и архитектуры до операционных процедур.

Для банковского сектора критически важно, чтобы инфраструктура оставалась под полным контролем внутри периметра, поэтому мы осознанно отказались от облачной модели и выбрали on-premise-подход. На практике ключевой вызов оказался связан не с самой технологией МФА, а с ее интеграцией в уже существующую разнородную среду. Исторически в банке применялись разные механизмы аутентификации, и привести их к единой логике и управляемой модели оказалось сложнее, чем развернуть новое решение “с нуля”. Отдельная задача — процессы восстановления доступа при утере второго фактора. Здесь важно найти баланс между безопасностью и непрерывностью работы. Процедура должна быть строго контролируемой, но при этом не создавать ситуацию, когда критические задачи администрирования становятся недоступными.

В целом российские решения уверенно закрывают базовые сценарии, и это важный признак зрелости рынка. Но при выходе за рамки стандартной архитектуры пока проявляются ограничения в технологической гибкости. Я бы оценил текущий уровень как “средний плюс”: надежно, но есть потенциал для дальнейшего развития».

Руслан Ложкин, директор департамента кибербезопасности, АКБ «Абсолют Банк».

Управление ключевыми носителями и сертификатами в распределенной инфраструктуре

Продолжая тему зрелости процессов в крупных компаниях, участники встречи обсудили управление жизненным циклом ключевых носителей и сертификатов. Владимир Ковалев, руководитель центра компетенций группы компаний РУСАЛ, рассказал о внутренней разработке системы, охватывающей как управление доступами сотрудников, так и ключевыми носителями и сертификатами в масштабной распределенной инфраструктуре. Он отметил, что при отсутствии централизованного управления процессы быстро становятся фрагментированными, а сроки и прозрачность — неконтролируемыми, что напрямую влияет на устойчивость бизнеса.

«Для глобальной компании с распределенной инфраструктурой трехдневный выпуск сертификата — это не просто неудобство, а прямой операционный и риск-менеджерский фактор. Когда в контуре одновременно работают несколько удостоверяющих центров и используются разные типы токенов, без единой точки управления процесс неизбежно начинает “жить своей жизнью” — с ростом нагрузки, числа исключений и вероятности ошибок.

Мы осознанно не пошли по пути полной замены инфраструктуры “с нуля”. Вместо этого была реализована надстройка над существующей системой IdM, которая фактически превратила ее в единый центр управления учетными записями, сертификатами и токенами. Главной задачей стала автоматизация доставки сертификата в любую точку мира с едиными правилами, контролируемыми этапами и предсказуемыми сроками выполнения.

В результате при стандартном сценарии пользователь получает сертификат менее чем за минуту, при условии, что он находится у своей рабочей станции. Это позволило перейти от длительных ручных процедур к управляемой сервисной модели, способной масштабироваться вместе с инфраструктурой и снижать риски за счет централизации и автоматизации.

Если оценивать российский рынок таких систем в целом, его зрелость можно определить на уровне 60–70%: для типовых задач возможностей достаточно. Но в крупных распределенных инфраструктурах требования к отказоустойчивости, масштабированию и кастомизации существенно выше, и именно здесь особенно важны архитектурные решения, единые политики и развитые механизмы управления жизненным циклом сертификатов и ключевых носителей».

Владимир Ковалев, руководитель центра компетенций группы компаний РУСАЛ.

Технология единого входа в нестандартной архитектуре

Отдельный блок дискуссии был посвящен внедрению технологии единого входа в сложных интеграционных сценариях с приложениями, для которых стандартные механизмы единого входа недоступны. Аскар Добряков, ведущий эксперт направления защиты данных и приложений в компании «К2 Кибербезопасность», подробно разобрал проект, где стандартные протоколы аутентификации неприменимы, а прикладные системы не поддерживают современные механизмы SSO.

«В проектах по реализации единой аутентификации главные сложности чаще всего возникают не на стороне платформы SSO, а на стороне прикладных систем. Если приложение не поддерживает OpenID Connect или SAML, стандартный сценарий единого входа становится недоступным, при этом переписывать или модернизировать систему заказчик зачастую не готов. В таких случаях требуется проектировать архитектурные “мосты” — например, использовать reverse proxy и механизмы предаутентификации. Это усложняет схему, но позволяет встроить legacy-приложение в современную модель централизованной аутентификации с управляемыми политиками доступа.

В одном из проектов с VDI мы применили промежуточный слой в виде Identity Broker. Он синхронизировался с Active Directory и выполнял преобразование токенов в формат, который могла корректно обработать целевая система. Однако при этом решение об аутентификации пользователей принималось только на корпоративном сервере SSO, а Identity Broker выполнял переадресацию на корпоративный SSO, принимал его вердикт и только после этого выдавал свой токен в том формате, который ожидала целевая система. По сути, это дополнительный уровень интеграции, без которого реализовать SSO в заданных условиях было невозможно.

В целом базовые сценарии SSO у российских платформ реализованы стабильно и надежно. Однако при необходимости глубокой кастомизации, например, изменения структуры токенов, нестандартной логики обработки атрибутов или специфических требований прикладных систем, часто требуется расширять архитектуру сторонними компонентами. Поэтому критически важно закладывать такие особенности на этапе проектирования и заранее оценивать не только функциональность платформы, но и готовность работы интегрируемых систем по современным протоколам аутентификации. Дополнительно с точки зрения интегратора хочется пожелать, чтобы решения SSO были готовы к такому повороту событий и имели на борту средства для кастомизации. Понятно, что для танго нужны двое, но раз уж система SSO является краеугольным камнем решения единого входа, видится логичным, что именно SSO делает первый шаг навстречу защищаемым системам».

Аскар Добряков, ведущий эксперт направления защиты данных и приложений, К2 Кибербезопасность.

Вектор развития МФА: адаптивная аутентификация и риск-ориентированная модель

В заключительной части встречи эксперты обсудили, каким будет следующий этап эволюции систем защиты идентификационных данных. Дискуссия вышла за рамки классической МФА и затронула вопросы контекстной, беспарольной и адаптивной аутентификации.

Руслан Ложкин, директор департамента кибербезопасности АКБ «Абсолют Банк» отметил:

«Сегодня применения второго фактора аутентификации является базовым стандартом и решает минимально необходимый набор задач по снижению рисков безопасности. Вместе с тем дальнейшее развитие рынка, на мой взгляд, будет связано с переходом к контекстной модели аутентификации, при которой решение о предоставлении доступа принимается с учетом дополнительных параметров, в том числе оценка устройства, географии, поведенческих аномалий пользователей».

Владимир Ковалев, руководитель центра компетенций группы компаний РУСАЛ, добавил:

«Ключевой вызов в проектах по управлению доступом — обеспечить баланс между уровнем безопасности и удобством для пользователей. Если меры контроля начинают замедлять бизнес-процессы и воспринимаются как препятствие для выполнения задач, это неизбежно повышает операционные риски, сотрудники ищут обходные пути и используют несанкционированные упрощения. Поэтому решения важно проектировать так, чтобы они повышали защищенность без потери эффективности и провоцирования обходных сценариев».

Аскар Добряков, ведущий эксперт направления защиты данных и приложений, К2 Кибербезопасность, резюмировал:

«В настоящее время уже оформился каскад функций, которые считаются обязательными для решений такого класса, и все игроки на рынке эти функции поддерживают. А лидеры рынка пытаются найти новые задачи, потребности и функции, развить идею решений аутентификации. Эти эксперименты связаны с глубокой интеграцией систем аутентификации с аналитикой и переходом к риск-ориентированным моделям. В такой архитектуре решение о выдаче доступа может зависеть не только после прохождения многофакторной аутентификации, но и от контекста и уровня риска, таких как параметры устройства, подключаемый ресурс и поведенческие сигналы».

По итогам встречи участники сошлись во мнении, что российский рынок решений для безопасности айдентити активно развивается. Базовая функциональность и обязательные требования уже реализованы, а дальнейший рост будет связан с внедрением адаптивных механизмов, развитием поведенческой аналитики и повышением гибкости архитектуры решений.

Присоединиться к Айдентити Клубу могут представители технологических компаний и специалисты, развивающие практики защиты айдентити в России. Для участия необходимо пройти регистрацию на сайте Айдентити Клуба.