ВТБ отказался от Oracle: американское ПО управляло учетными записями сотрудников банка

ВТБ отказался от использования от американской системы управления учетными записями сотрудников (IDM) Oracle Identity Management в пользу отечественного аналога Solar inRights от ГК «Солар», рассказали SecPost в банке. По их словам, проект по замещению начался в 2022 году, сейчас продукт «Солара» обеспечил интеграцию с 22 информационными системами в инфраструктуре банка.

В рамках проекта, говорит директор центра технологий кибербезопасности ГК «Солар» Иван Вассунов, их компании пришлось разработать средства диагностики, мониторинга и автоматизированной настройки интеграционного слоя.

В автоматическом режиме система решает более 340 000 задач ежемесячно: от создания учетной записи при найме сотрудника до блокировки при прекращении отношений, а также задачи управления доступом.

Банк ВТБ как и многие другие финансовые организации относится к субъектам критической информационной инфраструктуры, что обязывает компанию заменить иностранные ИБ-продукты на отечественные. Это, в частности, в интервью «Телеспутнику» в 2024 году отмечал заместитель руководителя технологического блока ВТБ Сергей Безбогов.

Продолжение ниже

После начала военных действий на Украине в 2022 году американский разработчик ПО Oracle приостановил свою деятельность в РФ, сообщал CNews.

По оценке CISO одного из крупнейших облачных провайдеров России (дал комментарий SecPost на условиях анонимности), миграция IDM в банке уровня ВТБ с интеграцией минимум 22 информационных систем может стоить от 500 млн до 1 млрд руб. «Структура затрат выглядит примерно так: лицензии и подписка на Solar inRights для организации численностью в несколько десятков тысяч сотрудников — ориентировочно 150–400 млн рублей. Работы по внедрению, включая проектирование ролевой модели, миграцию данных, разработку коннекторов к 22 системам — 300+ млн руб. Внутренние ресурсы банка за четыре года проекта (2022–2026) — ещё сопоставимая сумма в виде ФОТ команды сопровождения, архитекторов, тестировщиков», — поясняет он.

Кибербезопасность для малого и среднего бизнеса — «чужая забота», а хакеры охотятся только за гигантами?

Лица

По мнению директора департамента управления продуктовым портфелем Getmobit Василия Шубина, с точки зрения зрелости продукта и его распространения в компаниях американский Oracle лучше российского Solar inRights. Однако, отмечает он, продукция Oracle в любой момент может быть заблокирована правообладателем, что полностью исключает все возможные плюсы продукта. «В это время и в этом месте использование российского продукта однозначно лучше — зрелость и покрытие имеют свойство накапливаться», — подчеркивает Шубин.  

У Oracle Identity Management ключевым преимуществом является зрелость: это платформа с многолетней историей, большим числом внедрений и широкими возможностями интеграции, поясняет технический директор MD Audit (SL Soft FabricaONE.AI, акционер — ГК Softline) Юрий Тюрин. «Эта система хорошо подходит для сложных международных ландшафтов и поддерживает большое количество сценариев «из коробки». Минусы — высокая стоимость владения, сложность внедрения и зависимость от вендора». Среди плюсов у Solar inRights он отмечает адаптацию под локальные требования: интеграция с отечественными системами, соответствие регуляторике, более гибкая доработка.

Безопасность самого продукта, продолжает CISO облачного провайдера, определяется актуальностью патчей, качеством внедрения и качеством эксплуатации. «По первому фактору Solar inRights однозначно выигрывает, так как получает регулярные обновления, Oracle IDM — нет. По второму и третьему факторам всё зависит от команды заказчика и интегратора — и здесь оба продукта играют примерно в равных условиях», — говорит он, добавляя, что в зрелости продукта выигрывает Oracle.