Утро понедельника с Морион Диджитал | Алексей Новых, директор по информационной безопасности Центра информационной безопасности

Вышел подкаст «Утро понедельника с Морион Диджитал» о том, как построить систему защиты данных в условиях жёстких требований регуляторов.

В девятнадцатом выпуске подкаста Алексей Новых, директор по информационной безопасности Центра информационной безопасности (резидент технопарка), рассказал о том, как устроена современная защита данных в промышленности, энергетике и финансовом секторе. Гость объяснил, почему требования регуляторов становятся жёстче, чем защита критической информационной инфраструктуры отличается от коммерческих систем и какие три простых правила помогут обычному пользователю обезопасить свои данные.

«Если мы говорим про критическую информационную инфраструктуру по максимальным требованиям, то это огромный пласт средств защиты информации, заканчивая отечественными программно‑аппаратными комплексами, серверами, которые произведены именно в России», — отметил Алексей Новых.

Приводим литературную расшифровку ключевых тезисов.

Анастасия Зданкович:

Здравствуйте, у микрофона Анастасия Зданкович. Вы слушаете подкаст «Утро понедельника» с Морион Диджитал. Сегодня мы говорим об одной из ключевых тем для любого бизнеса в 2026 году, об информационной безопасности. О том, как защитить данные, когда требования регуляторов становятся жёстче, а цена утечки может измеряться не только деньгами, но и репутацией, и, конечно, о резидентах нашего технопарка. В Морион Диджитал сегодня собрано более 80 технологических компаний, и среди них есть те, кто специализируется на самом сложном — на защите критической информационной инфраструктуры.

Одна из таких компаний — Центр информационной безопасности. Они работают с заказчиками из разных отраслей: от промышленных предприятий и энергетики до банковского сектора и здравоохранения. Их экспертиза — это создание комплексной защиты информации под ключ, от обследований и аудита до внедрения средств защиты и их поддержки. Сегодня в студии человек, который знает, как построить систему безопасности, способную выдержать любые проверки и при этом не превратить работу компаний в бесконечное согласование допусков.

Мы поговорим о том, почему IT‑специалисты и специалисты по безопасности до сих пор говорят на разных языках, что на самом деле стоит за фразой «защищённый объект» и почему в 2026 году безопасность стала не затратами, а конкурентным преимуществом. В студии директор по информационной безопасности Центра информационной безопасности Алексей Новых. Алексей, доброе утро.

Алексей Новых:

Доброе утро.

Анастасия Зданкович:

Давайте начнём с главного. Вы работаете с заказчиками из разных отраслей: промышленность, энергетика, транспорт, банки, здравоохранение и даже наука. Что общего в их запросах и чем, например, работа с банками отличается от работы с промышленными предприятиями?

Алексей Новых:

Начну с последнего. На самом деле разницы особой нет. Требования везде одинаковые. Что здравоохранение, что банки, что промышленность — это у нас субъекты критической информационной инфраструктуры, и требования там единые. Единственное, различаются по степени ущерба, разные категории значимости. Если мы не говорим про технологические какие‑то процессы, зачастую это просто клиент‑серверная архитектура. Требования везде одинаковые. Регулятор у нас — ФСТЭК — делает единую систему безопасности.

Анастасия Зданкович:

А можно поподробнее про эти требования и где с ними можно ознакомиться?

Алексей Новых:

Первое — это Федеральный закон № 187 о безопасности критической информационной инфраструктуры. Если мы говорим про требования регулятора, то это в первую очередь приказ ФСТЭК № 239, ещё это ФСБ по компьютерным инцидентам. Также у нас есть отраслевые методики — промышленность, здравоохранение уже выпустили свои отраслевые рекомендации, требования для того, как нам защититься, выстроить систему безопасности. Ну, а мы со своей стороны уже на этапе от обследования до внедрения пытаемся им помочь в этом плане, как грамотно выстроить. Потому что не всегда хватает специалистов данных организаций, ну и, соответственно, на помощь приходим мы как лицензиаты.

Анастасия Зданкович:

Алексей, вот смотрите, предлагается информационная безопасность под ключ от обследования до поддержки. Но ведь у многих заказчиков есть свой отдел IT или даже информационной безопасности. Как выстраивается взаимодействие и в каких случаях компаниям проще обратиться к вам, чем решать вопросы своими силами?

Алексей Новых:

Да, вы правильно заметили, что есть свои отделы информационной безопасности, IT‑отдел. Здесь мы говорим именно про крупные организации. То есть это 100% Росатом, Газпром, Ростех. У них есть также филиалы, подведомственные организации. Зачастую их набирается такое большое количество, что в каждую организацию — там может быть организация в 15–20 человек, и, соответственно, отдельного какого‑то выделенного отдела просто нет. Просто физически не могут выделить. Ну и, соответственно, конкурсная процедура — это госзакупки, соответственно, поиск подрядчиков. Это первое. Второе — это лицензируемый вид деятельности. То есть без лицензии просто некоторые работы нельзя выполнять. То же самое проектирование, например. То есть приходим мы, проектируем комплексную систему безопасности, предоставляем заказчику документ. Соответственно, заказчик закрывает свои риски. Здесь есть мы, выступая как подрядчик, всё равно берём на себя все риски, соответственно, в первую очередь несём ответственность не перед заказчиком, а уже перед регулятором, то есть перед ФСТЭК. В какой‑то мере, можно сказать, создавая такую систему безопасности, рискуем своей лицензией. То есть мы берём на себя все эти риски. Ну и организации проще, не она в первую очередь отвечает, а лицензиат отвечает.

Анастасия Зданкович:

И вы работаете с разными производителями средств защиты, представляете, интегрируете, поддерживаете. Как за последние годы изменился рынок вендоров? С уходом западных игроков появились ли новые российские производители? Как вы оцениваете текущую ситуацию?

Алексей Новых:

На самом деле на данный момент производителей осталось не так много именно из крупных. Когда вся эта история с уходом западных игроков началась, появились новые производители. На текущий момент, если мы говорим про рынок, прокачались именно крупные игроки. То есть они начали производить новые средства защиты информации, начиная от межсетевых экранов, заканчивая анализаторами кода. Поэтому сказать о том, что рынок у нас огромный, да, он огромный. Акцентировать внимание — это всё равно крупные игроки, начиная от «Кода безопасности», заканчивая Positive Technologies. То есть всё равно акцентируем своё внимание именно на крупных производителях.

Анастасия Зданкович:

Центр информационной безопасности — резидент технопарка Морион Диджитал. Что вам даёт нахождение в технопарке и есть ли у вас проекты, которые родились благодаря соседству с другими резидентами, или это просто удобное расположение?

Алексей Новых:

Не будем лукавить, что это всё равно удобное расположение, налоги меньше, но если говорить именно о взаимодействии, то бесспорно, в Морион Диджитал находится очень много IT‑организаций, также тех, кто занимается безопасностью. Были проекты по сотрудничеству с другими организациями. Возвращаясь назад, что есть IT, есть информационная безопасность. Соответственно, мы занимаемся только информационной безопасностью, но иногда мы выходим на проекты, где требуется IT. Также и другие IT‑компании, которые хотят зайти в какой‑то проект, но там нужна информационная безопасность. Ну и мы друг другу помогаем.

Анастасия Зданкович:

И также работаете с объектами критической информационной инфраструктуры. Расскажите, что это за объекты и какие требования к ним предъявляют? Чем их защита отличается от защиты обычных коммерческих систем?

Алексей Новых:

Если говорить про защиту, именно чем отличается защита от обычных систем, по сути дела, ничем, только лишь набором требований и средств защиты информации. То есть если говорить про критическую информационную инфраструктуру по максимальным требованиям, то огромный пласт средств защиты информации, заканчивая отечественными программно‑аппаратными комплексами, серверами, которые произведены именно в России. А если мы говорим про коммерческие, тут такого большого пласта по защите и выполнению всех требований законодательства просто нет. Тут скорее внутренние требования предъявляют.

Анастасия Зданкович:

И говорят, что самый сложный элемент любой системы безопасности — это человеческий фактор. Как вы работаете с этой стороной вопроса и делаете ли ставку на технические средства контроля, на обучение сотрудников?

Алексей Новых:

В первую очередь здесь всё должно идти в связке. Никакая система безопасности не будет выстроена, если у нас сотрудник будет писать свой пароль на бумажке и оставлять под клавиатурой. То есть тут в любом случае обучение плюс технические средства. Без этого никуда.

Анастасия Зданкович:

Нас слушают многие резиденты технопарка и те, кто интересуется технологиями. А вот подскажите, как правильно хранить пароли? Куда их записывать?

Алексей Новых:

Самый простой способ — это менеджер паролей.

Анастасия Зданкович:

То есть это приложение какое‑то?

Алексей Новых:

Да, это специальное приложение, то есть, зная мастер‑пароль, просто туда заходишь, а там уже просто хранилище.

Анастасия Зданкович:

И вот знаю, что многие рекомендуют для одного сервиса, соцсети или какого‑то устройства заводить один пароль, для другой платформы — другой. Это правильно или можно иметь один пароль на все устройства?

Алексей Новых:

Тут скорее нужно сделать оговорку. Один пароль, конечно, использовать не надо. С другой стороны, можно брать единую какую‑то фразу и добавлять туда «соли». То есть добавлять какие‑то символы, конец в начало, в середину. Соответственно, пароль у тебя будет изменён, то есть он будет разный для сервисов, но единую базу ты знаешь. Соответственно, такой пароль проще восстановить для тебя, ну и не потерять.

Анастасия Зданкович:

А с точки зрения информационной безопасности, какой пароль считается самым надёжным?

Алексей Новых:

Ну, на текущий момент это не меньше 15 символов. Такой пароль уже точно не взломать на текущих видеокартах, или на это потребуется длительное время. Таким образом, увеличиваем время реагирования на инцидент. Ну и, соответственно, если мы используем средства защиты информации, которые нам позволяют вовремя среагировать на взлом, то мы можем, соответственно, и избежать его.

Анастасия Зданкович:

В IT и в информационной безопасности иногда возникает напряжение. Разработчики говорят: быстрее выпускать продукты, специалисты по безопасности говорят: обеспечить надёжность. Как вы находите баланс между скоростью и безопасностью в проектах?

Алексей Новых:

Очень сложный вопрос. Компромиссы. Тут единственное — компромиссы, что если мы не можем что‑то защитить техническими средствами, мы используем компенсирующие средства. То есть это организационные средства.

Анастасия Зданкович:

А что туда входит?

Алексей Новых:

Организационные средства — это различные регламенты, обучение сотрудников и всё, что с этим связано. Всё за минусом средств защиты информации и приложений, и программного обеспечения. Соответственно, есть организация, в ней 5000 рабочих станций. Надо эту систему привести в соответствие. Срок — полгода. Бюджет. Соответствующая организация будет выделять этот бюджет. Банально может не хватить денег, она может выйти за свой бюджет, который изначально заложила. Соответственно, это только организационные средства. Организационными средствами закрывать. Ну и постепенно. То есть закрыли 1000 компьютеров, остальные 4000 компьютеров IT‑отдел знает. Надо усилить сложность пароля на Windows, Astra Linux или ещё что‑то. Следить за пользователями, соответственно, регламенты выстроить. Ну, а та 1000 компьютеров, она уже под защитой, скажем так. Там единственное стоит поддерживать.

Анастасия Зданкович:

Импортозамещение в информационной безопасности — это уже свершившийся факт? Или всё‑таки процесс ещё продолжается? И подскажите, насколько российские решения сегодня готовы закрывать потребности бизнеса?

Алексей Новых:

Импортозамещение именно в сфере информационной безопасности — то, что уже свершилось, довольно давно. То есть те игроки, которые ушли с российского рынка, довольно быстро российские компании нашли им замену. То есть это те же самые маршрутизаторы, коммутаторы компании «Элтекс», НПФ «ДИЭЛ» — которые года два или три назад уже разработали. Такие компании, как «Код безопасности», «ИнфоТекс», Positive Technologies. Positive Technologies недавно выпустил свой продукт, сейчас в пилотных проектах больше. Единственное, импортозамещение осталось только именно инфраструктурного программного обеспечения. То есть это операционные системы, прикладное программное обеспечение. То есть в этом направлении государство ещё идёт.

Анастасия Зданкович:

Давайте вернёмся к технопарку. У вас есть возможность наблюдать за другими резидентами. Как вы оцениваете уровень зрелости в вопросах информационной безопасности среди компаний‑соседей? Кто больше внимания уделяет этой теме: молодые стартапы или крупные игроки?

Алексей Новых:

Молодые стартапы… Не сказать, что мы с ними прямо плотно взаимодействовали, но поступали нам запросы от организаций, возможно, не от резидентов, сейчас уже точно не помню. Прямо с запросом, что вот мы разрабатываем сайт, это у нас стартап, получается, с запросом: можете провести нам соответствующие работы, выявить какие‑то дыры, довести продукт до продажи, скажем так. Такой подход, в принципе, люди идут, то есть они понимают, что информационная безопасность им нужна. Зрелость, я считаю, в этом направлении есть определённая. Опять же, если мы говорим про наш технопарк, то там очень много разработчиков, то есть это работа с кодом, там определённо обращаются за этими вопросами.

Анастасия Зданкович:

А теперь вопрос, который волнует не только бизнес, но и каждого из нас: что может сделать обычный человек, чтобы обезопасить свои данные? Какие три простых правила вы бы посоветовали соблюдать всем, у кого есть смартфон, банковское приложение или электронная почта?

Алексей Новых:

Ну, первое, что приходит на ум, — минимизировать свой цифровой след в цифровом пространстве, скажем так.

Анастасия Зданкович:

А как это сделать?

Алексей Новых:

Не распространять данные, ну, не публиковать данные сверх необходимости: дата рождения, пол, возраст — ещё ладно, а какие‑то дополнительные данные, например, та же самая девичья фамилия. То есть многие наверняка свою девичью фамилию используют как те же самые контрольные вопросы. Это первое. Ну, второе — это банально менять пароль.

Анастасия Зданкович:

А это с какой периодичностью?

Алексей Новых:

Периодически. То есть если мы говорим про какие‑то обычные социальные сети или ещё что‑то, то просто достаточно раз в полгода менять. Полгода‑год, скажем так. Ну, а если вдруг попалась информация в интернете, что взломали такую‑то базу данных, утекли пароли, ну, просто взять и среагировать на это, поменять пароль. Третий — не хранить пароли в блокноте и делать просто резервные копии.

Анастасия Зданкович:

Конечно, интересно ещё и узнать, какие планы у Центра информационной безопасности на ближайший год и вообще на ближайшее будущее. Какие направления вы видите самыми перспективными, как, по‑вашему мнению, будет развиваться рынок информационной безопасности в ближайшие годы в целом?

Алексей Новых:

Брать больше контрактов, расширять штат. У нас компания небольшая, 20 инженеров, но в любом случае здесь только развитие и захват всего рынка. В Пермском рынке же мы не так сильно представлены. Мы в основном путешествуем по России: от Севастополя до Сахалина, от Магадана до Калининграда. То есть тут только увеличивать больше городов, увеличивать. Это первое. Ну, развитие, развитие, ещё раз развитие. Если говорить именно о том, как изменится рынок по информационной безопасности, это сложный вопрос, потому что в текущих реалиях он постоянно меняется. Каждый месяц, может, месяц‑три выходят новые требования. То есть вот недавно вышел новый приказ № 117 от ФСТЭК, который существенно добавит требования к организациям, будь то критическая информационная инфраструктура или же обычная бухгалтерия, бухгалтерский учёт. Так что тут сложно загадывать. Ну, а если именно загадывать, то это стопроцентно искусственный интеллект, усиление требований к искусственному интеллекту, какие‑то, возможно, внедрение искусственного интеллекта в средства защиты информации, обучение его, машинное обучение. Из того, что прямо приходит на ум.

Анастасия Зданкович:

Алексей, ещё с точки зрения рядового пользователя искусственного интеллекта: например, очень многие сейчас задают какие‑то очень личные вопросы искусственному интеллекту. Вот насколько это безопасно? И как понять, какую информацию мы можем распространять, даже в том числе рабочую или какую‑то личную информацию, задавая какой‑то вопрос и прося совет? А какую не можем?

Алексей Новых:

Здесь то же самое про минимизацию своего цифрового следа. Если мы говорим про какую‑то рабочую информацию, ну, здесь мы просто берём и обезличиваем её. То есть в любом случае организация не использует искусственный интеллект. Я не говорю, что искусственный интеллект — это плохо, даже это хороший инструмент, но в первую очередь нужно понимать, что это инструмент, который может давать ошибки. Его стоит обучать. И если мы ему даём какой‑то документ, в первую очередь выдержку мы даём из этого документа, чтобы он его проанализировал. Ну, а проанализировав, надо ещё раз лично его проанализировать. Так что тут действует принцип необходимости и достаточности. Какая информация необходима и какую информацию достаточно предоставить для того, чтобы получить результат.

Анастасия Зданкович:

И если бы вы могли дать один совет руководителям компаний, которые только начинают задумываться о системной информационной безопасности, с чего им начать?

Алексей Новых:

Первое, что приходит на ум, — это вообще провести инвентаризацию того, что вообще есть. Потому что иногда мы также приходим в организацию, ну, просто нужен аудит. Мы приходим и начинаем проводить инвентаризацию: какие есть сервисы у заказчика, какие вообще данные у него есть. И зачастую после отчёта заказчик говорит: «Этот сервис у нас до сих пор живой». К чему я это всё веду? Если сервис неживой и им никто не работает, возможно, этим сервисом может воспользоваться и злоумышленник. Он не под контролем, никто о нём не знает, возможно, и пароли на нём последний раз менялись пять лет назад, и это банальная дыра в безопасности.

Анастасия Зданкович:

Алексей, ещё подскажите, как связаться с Центром информационной безопасности?

Алексей Новых:

Сайт. Сейчас у нас есть сайт, есть общий телефон, почта.

Анастасия Зданкович:

Слышала, что вы проводите аудит. Кроме того, есть и ряд других услуг. Чем вы можете быть полезны для резидентов, а также наших слушателей?

Алексей Новых:

Для резидентов это в первую очередь про разработку. Есть такое направление, оно сравнительно недавно появилось, это DevSecOps, то есть это безопасная разработка кода. Мы подбираем решения, средства защиты информации у вендоров и, соответственно, проводим какие‑то пилотные проекты. Заказчик, соответственно, смотрит, нужно ему это делать или нет. В первую очередь это вот разработка. Потому что очень много резидентов именно в этом направлении работают. Ну, а безопасность, именно безопасная разработка — одно из направлений, которое прямо развивается.

Анастасия Зданкович:

Алексей, спасибо за диалог. Было очень интересно узнать о том, как устроена современная информационная безопасность. Напомню, сегодня у нас в гостях была компания Центр информационной безопасности, резидент технопарка Морион Диджитал, специализирующаяся на создании комплексных систем защиты информации для разных отраслей. Этот и другие выпуски подкаста выходят каждый понедельник, и вы их можете слушать на Podster FM, в Яндекс.Музыке и ВКонтакте. Услышимся в следующий понедельник.

Критическая информационная инфраструктура (КИИ) — объекты, информационные системы и сети электросвязи, функционирование которых необходимо для обеспечения жизнедеятельности общества, экономики и безопасности государства.

ФСТЭК (Федеральная служба по техническому и экспортному контролю) — федеральный орган исполнительной власти, осуществляющий функции по реализации государственной политики, организации межведомственной координации и взаимодействию, специальным и контрольным функциям в области государственной безопасности, в том числе в сфере технической защиты информации.

Вендор — производитель программного или аппаратного обеспечения.

Межсетевой экран — программное или программно‑аппаратное средство защиты информации, контролирующее и фильтрующее сетевой трафик в соответствии с заданными правилами.

Анализатор кода — инструмент для автоматического анализа исходного кода программ с целью выявления уязвимостей и ошибок.

DevSecOps — подход к разработке программного обеспечения, интегрирующий практики безопасности на всех этапах жизненного цикла разработки.