4 февраля прошла конференция «Рутокен Day», посвященная ключевым трендам в сфере информационной безопасности, электронной подписи и управления доступом. В этом году главной темой дискуссий стал баланс между безопасностью и удобством – как сделать технологии защиты данных надежными, но при этом простыми для пользователей. Эксперты обсудили вызовы цифровой трансформации, импортозамещение в ИБ-решениях, а также будущее киберфизических систем в условиях растущих киберугроз.
В ходе первого круглого стола спикеры активно дискутировали касательно ключевых проблем и возможных решений развития клиентских путей электронной подписи. Спикерами был поднят вопрос удобства и универсальности технологий. В частности, Сергей Лапшин, менеджер по развитию и работе с технологическими партнерами УЦ СКБ «Контур», отметил, что веб-решения, несмотря на их распространенность, имеют ограничения, особенно в аспекте мобильности. Однако переход на нативные приложения также не выглядит однозначным решением, поскольку это может усложнить жизнь пользователям, которые уже привыкли к работе через браузеры и плагины. В качестве компромисса он предложил применять SDK решения. Еще одной альтернативой веб-решениям, предложенной Сергеем Аносовым, руководителем отдела продуктовой экспертизы ОС «Аврора», стали кросс-платформенные решения, обеспечивающие безопасность и удобство без необходимости создания множества отдельных приложений. «Наша общая задача – сделать так, чтобы пользователь не думал ни про безопасность, ни про то, где хранится его ключ, а просто брал устройство, произошла какая-то магия, договор подписался», – заключил Сергей.
Другой важный аспект – упрощение взаимодействия с технологиями для обычных пользователей. Павел Мельниченко, технический директор SafeTech, подчеркнул, что решения в виде плагинов часто слишком сложны для неподготовленных пользователей, и предложил сосредоточиться на создании интуитивно понятных интерфейсов, например, через личные кабинеты или мобильные приложения, где процесс подписания документов был бы максимально простым. Кроме того, обсуждалась роль государства в этом процессе: Николай Смирнов, директор по продуктам «ИнфоТеКС», считает, что интеграция электронной подписи в такие платформы, как госуслуги, могла бы значительно упростить использование электронной подписи для массового пользователя, перенося часть ответственности на государственные системы. Завершением дискуссии стал вывод о том, что будущее электронной подписи лежит в балансе между безопасностью, удобством и универсальностью, а ключевым направлением развития должно стать упрощение клиентского опыта без ущерба для надежности технологий.
Три года активного импортозамещения в сфере аутентификации и управления доступом кардинально изменили российский ИТ-ландшафт. Как показала дискуссия второго круглого стола, отечественные вендоры не просто закрыли базовые потребности рынка, а сформировали собственные подходы к решению задач безопасности. Если в 2022 г. многие заказчики требовали «сделать, как у IBM», то сегодня запросы стали более предметными – клиенты научились формулировать реальные потребности, а не ностальгировать по западным решениям.
Особый интерес участников вызвала эволюция PAM-систем. Как отметили эксперты, современные российские решения научились не просто контролировать доступ подрядчиков, но и предлагать комплексный мониторинг действий внутри инфраструктуры, интеграцию с разнородными каталогами и даже элементы поведенческого анализа. При этом сохраняются вызовы: массовая миграция с западных платформ часто наталкивается на попытки механически перенести устаревшие архитектурные подходы, а мифы о «легкой двухфакторке» создают нереалистичные ожидания от внедрения.
Второй блок обсуждения раскрыл потенциал синергии между программными и аппаратными решениями. Практический опыт участников показывает, что интеграция с российскими токенами (например, «Рутокеном») и поддержка стандартов FIDO открывают новые возможности для гибких сценариев аутентификации. Это особенно важно для крупных заказчиков с распределенной инфраструктурой, где критична совместимость с существующей PKI-экосистемой.
Технология FIDO, несмотря на ее перспективность для корпоративного сектора, пока сталкивается с двойственным отношением. С одной стороны, она предлагает долгожданную альтернативу громоздким PKI-решениям, с другой – потребительская версия стандарта вызывает вопросы безопасности из-за особенностей синхронизации ключей. Как резюмировали участники, будущее российского рынка управления доступом лежит в балансе между развитием собственных технологий, учетом реальных, а не навязанных потребностей бизнеса и грамотной интеграцией аппаратных и программных решений. Сегодня отрасль демонстрирует здоровую динамику – от простого замещения импорта к созданию экосистемы, где безопасность становится не барьером, а естественной частью бизнес-процессов.
На фоне стремительной цифровизации всех сфер жизни вопросы безопасности киберфизических систем (КФС) выходят на первый план. Как показало обсуждение экспертов в ходе заключительного третьего круглого стола, посвященного будущему безопасности киберфизических систем в России, современный ландшафт угроз демонстрирует тревожную устойчивость – основные виды атак, известные еще пять лет назад, не только сохранились, но и приобрели новые масштабы воздействия.
Киберфизические системы, объединяющие цифровые технологии с физическими процессами, сегодня становятся основой критической инфраструктуры – от промышленных предприятий и энергосистем до городского транспорта и «умных» домов. «Компрометация даже незначительного IoT-устройства может запустить цепную реакцию, способную парализовать работу целых отраслей», – отметила Марина Сорокина, руководитель продуктового направления «ИнфоТеКС» по защите индустриальных систем.
Особую озабоченность экспертов вызывает состояние промышленных КФС. «Эти системы создавались еще в 80-х гг. Насколько они эксплуатабельны сегодня? – задается вопросом Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies. – Тот же ввод логина и пароля оператором атомного энергоблока – эти секунды могут привести к необратимым последствиям».
По оценкам экспертов, ситуация с защитой промышленных КФС остается сложной: «Внедрение современных механизмов криптографии в промышленных системах идет крайне медленно. Потребуется 10–15–20 лет, чтобы сформировать конкурентный рынок таких решений», – констатирует Дмитрий.
Статистика подтверждает эти опасения: около 40% промышленных объектов в России остаются недостаточно защищенными. Среди основных причин:
- технологическая отсталость инфраструктуры;
- дефицит квалифицированных кадров;
- отсутствие единых стандартов безопасности;
- недостаточная координация между участниками рынка.
«Мы должны рассмотреть ландшафт технологий, которые можно применить для создания системы изначально в защищенном виде, подумать о методических принципах проектирования архитектур и претворении их архитектурной жизни с точки зрения технологий», – отмечает Владимир Карантаев, менеджер по анализу эффективного использования аппаратных средств АО «Лаборатория Касперского». – У России есть определенная свободность технологий, осталось построить эффективные цепочки кооперации и работать на этот результат».
Конференция показала: российский рынок безопасности движется от простого замещения зарубежных технологий к созданию собственной экосистемы, где удобство пользователя и надежность становятся не взаимоисключающими, а взаимодополняющими принципами.
