“Risk-adaptive access control, это не просто ещё один модуль СУИБ. Это сдвиг парадигмы: от реактивной защиты по правилам к активной системе в условиях неопределённости, которая переоценивает угрозы в реальном времени и меняет доступ не на основе прошлых прецедентов, а на основе математической модели будущих последствий.”
Risk-adaptive control в системах доступа часто переводят как «адаптивное управление доступом на основе рисков», но эта формулировка не передаёт глубины. По сути, это внедрение аппарата теории принятия решений в классическую модель контроля доступа. Цель — не просто запретить или разрешить в данный момент, а динамически корректировать политики, минимизируя общий (математический) риск для информационного актива, даже если угроза ещё не реализовалась. Контур безопасности становится активным, а не статичным барьером.
От RBAC и ABAC к риск-адаптивным системам: эволюция ограничений
Традиционные модели контроля доступа, такие как ролевая (RBAC) и атрибутная (ABAC), работают как детерминированные машины с состояниями. Доступ есть совокупность статических правил: «если пользователь имеет роль X и атрибут Y, то доступ разрешён». Внутри этих систем нет механизма оценки последствий самого факта предоставления доступа за пределами формальной проверки прав.
В отличие от них, риск-адаптивная модель вводит дополнительное измерение: ситуационный риск. Разрешение доступа больше не бинарная операция, а взвешенное решение. Система перед каждым доступом опрашивает контекст — внутренний (поведение пользователя, текущая нагрузка на систему, наличие обходных действий) и внешний (источники угроз, активность атакующего, геолокация, время) — и оценивает, насколько вероятно, что данный сеанс приведёт к реализации угрозы конфиденциальности, целостности или доступности (КЦД).
В результате «разрешённый» в рамках RBAC доступ может быть отклонён риск-адаптивной системой, так как суммарная оценка входящего риска превышает допустимый порог. Например, сотрудник финансового отдела (роль) пытается скачать внутренний отчёт (ресурс) в 3 часа ночи с публичной сети аэропорта. По правилам RBAC и ABAC ему нельзя отказать. Но риск-адаптивный движок повысит оценку риска из-за аномального времени, недоверенного местоположения и характера операции. Доступ либо блокируется, либо предоставляется в урезанном виде — например, с водяными знаками и запретом на сохранение.
Ядро системы: движок оценки риска
Сердце любой риск-адаптивной системы — движок, который из контекстуальных фактов делает численную оценку вероятности реализации угрозы и размера возможного ущерба. Здесь применяются математические методы теории решений.
Ожидаемые потери (Expected Loss — EL) — ключевая метрика. Она рассчитывается как взвешенная сумма потенциального ущерба по всем рассматриваемым угрозам. Формулу можно упрощённо представить так: EL = Σ (Вероятность_угрозы_i × Стоимость_актива × Множитель_уязвимости_i). Система стремится минимизировать EL для каждого запроса на доступ.
Для работы с неопределённостью в условиях дефицита информации используются интервальные оценки и байесовские сети. Скажем, система не знает точно, является ли необычная активность пользователя признаком компрометации учётной записи. Но она может взять априорную вероятность этого события (основанную, например, на статистике инцидентов по этой роли) и, по мере поступления новых данных о сессии (неудачные попытки ввода пароля, скорость навигации по данным), уточнять апостериорную вероятность. Решение о доступе пересчитывается динамически. Если в начале сессии риск был допустим, то через несколько шагов он может превысить порог, что приведёт к принудительному разрыву сессии.
Динамические риски и автоматическая корректировка политик
Что такое динамический риск
Динамическим риском в этой модели считается не внешняя угроза сама по себе, а состояние системы и её восприимчивость к угрозам в конкретный момент времени. Эта восприимчивость меняется под влиянием событий, которые можно отследить. К ним относятся:
- Аномальное поведение пользователя или системы: нехарактерный для человека паттерн запросов, слишком высокая частота обращений к чувствительным данным.
- Изменение внешней обстановки: вспышка новой уязвимости в используемом ПО, появление индикаторов компрометации в общих источниках, выход в сеть с нетипичного IP-адреса или геолокации.
- Повышение критичности контекста: попытка доступа к данным во время проведения аудита или в условиях объявленной инцидентной ситуации.
Адаптация в действии
Корректировка политик на лету — отличительная черта системы. Она не спрашивает администратора. Типичные меры адаптации:
- Эскалация аутентификации. Если запрос к обычному ресурсу не вызвал подозрений, система потребует только пароль. Но при попытке доступа к финансовому отчёту с нового устройства или в нерабочее время будет запрошен одноразовый код. Ошибка ввода кода резко повысит оценку риска и вызовет следующую меру.
- Снижение привилегий в сессии. Пользователь вошёл как «редактор» документов. После того как алгоритмы заметили попытки массовой загрузки файлов, система может прозрачно понизить его права до «чтения» для всей сессии или для конкретных операций.
- Принудительный аудит и водяные знаки. Доступ к документу предоставлен, но любое действие (открытие, печать) автоматически логируется с повышенной детализацией, а на просматриваемый документ накладывается цифровой водяной знак с идентификатором сессии.
Практическая реализация и связь с регуляторикой России
Внедрение риск-адаптивных систем напрямую соотносится с требованиями регуляторов — ФСТЭК России и 152-ФЗ о персональных данных. Хотя в документах прямо не прописан «риск-адаптивный доступ», логика требований движется в эту сторону.
Требование об уровне защищённости (УЗ) и рисках. Приказ ФСТЭК №21 обязывает определять актуальные угрозы и оценивать риски их реализации. Risk-adaptive control, это средство непрерывной автоматизации этой оценки в привязке не к абстрактной системе, а к каждой операции доступа.
Сегментация и контроль доступа в условиях неопределённости (152-ФЗ, ст. 18.1, 19). Закон требует принимать меры, соразмерные степени угроз. Статические правила часто бывают избыточными или, наоборот, недостаточными. Risk-adaptive подход позволяет гибко тарифицировать «меры» в зависимости от текущего уровня угрозы, формально соблюдая принцип соразмерности.
Обработка инцидентов. Движок оценки риска, постоянно анализирующий поведение, становится системой раннего предупреждения. Аномалия, поднявшая риск выше порога, может быть автоматически классифицирована как предвестник инцидента и инициировать процесс его расследования ещё до нанесения реального ущерба.
Пример технической реализации базового движка оценки может быть описан псевдокодом. Важно не само исполнение, а демонстрация логики принятия решения.
[КОД: Псевдокод функции оценки риска]
Функция assess_risk(пользователь, ресурс, контекст):
база_риска = 1.0
Если ресурс.категория == "конфиденциальный":
база_риска *= КОЭФФИЦИЕНТ_КОНФИДЕНЦИАЛЬНОСТИ
Если текущее_время не в диапазоне рабочего_графика(пользователь):
база_риска *= КОЭФФИЦИЕНТ_ВРЕМЕНИ
Если контекст.ip_адрес не в доверенной_сети:
база_риска *= КОЭФФИЦИЕНТ_МЕСТОПОЛОЖЕНИЯ
Если recent_failed_logins(пользователь) > ПОРОГ:
база_риска *= КОЭФФИЦИЕНТ_ПОВЕДЕНИЯ
общий_риск = база_риска * calculate_asset_value(ресурс)
Возврат общий_риск
Сложности, ограничения и скрытые проблемы
Внедрение risk-adaptive систем связано с трудностями, которые редко афишируются в маркетинговых материалах.
Проблема «чёрного ящика». Сложные алгоритмы, особенно с элементами машинного обучения, могут принимать решения, которые администратор не в состоянии интерпретировать. Почему доступ был заблокирован именно сейчас? Обоснование «высокий риск» без деталей не работает в условиях требований к протоколированию ФСТЭК. Требуется разработка механизмов explainable AI для ИБ.
Необходимость в качественных данных. Система живёт контекстом. Если в неё не поступают данные о новых угрозах, индикаторах атак или изменениях в бизнес-процессах, она работает на устаревшей модели рисков. Это создаёт отдельный контур задач по интеграции с SIEM, Threat Intelligence платформами и системами управления бизнес-процессами.
Риск «паралича» системы. Агрессивные настройки порогов риска могут привести к тому, что система начнёт блокировать легитимные бизнес-процессы, которые просто выглядят нестандартно. Настройка требует длительного периода «обучения» и тонкой балансировки между безопасностью и доступностью.
Вывод: куда движется контроль доступа
Risk-adaptive access control, это не финальное состояние, а промежуточный шаг на пути к полностью контекстно-зависимым, самообучающимся системам безопасности, которые управляют доступом не только к данным, но и к функционалу, микросервисам и API. В будущем можно ожидать переход от дискретных решений «разрешить/запретить» к непрерывному мониторингу риска в течение всей сессии с динамическим применением контрмер, невидимых для легитимного пользователя, но максимально затрудняющих действия злоумышленника. В российском контексте этот подход становится не просто технологической инновацией, а практическим инструментом для выполнения требований регуляторов в условиях растущих динамических угроз.