Много раз слышал от CISO и CIO крупных компаний, в особенности финансовых организаций, что для защиты от DDoS-атак на уровне приложений, а также от ботовых атак на бизнес-логику сайтов нужно исключительно локальное решение (on-premise). Только оно обеспечит полный контроль над трафиком и позволит соблюсти регуляторные требования.

И до 2022 года иностранные коробочные решения активно использовались в большинстве кредитных организаций с этой целью. Кое-кто из банков использует эти on-premise и сейчас, хотя вендоры заветных «железок» ещё три года назад ушли из России. При этом существует мнение, что подходящих on-premise российского производства на рынке ещё нет. Но так ли это? Предлагаю разобраться, как обстоят дела на самом деле.

Главным аргументом организаций в пользу on-premise является выполнение требований PCI DSS (международный стандарт безопасной обработки платёжных данных). И сложности в связи с этим документом заключаются в передаче SSL-сертификатов. Стандарт PCI-DSS (Payment Card Industry Data Security Standard) не запрещает напрямую передачу SSL-сертификатов [1] сторонним компаниям. Однако он устанавливает строгие требования к защите данных, включая конфиденциальность и целостность информации, связанной с обработкой платёжных карт.

Если SSL-сертификат используется для безопасной обработки данных, соответствующей требованиям PCI-DSS (например, данных карт), то передача сертификата третьей стороне должна осуществляться с учётом следующих принципов:

1. Конфиденциальность. SSL-сертификаты содержат закрытые ключи, которые должны храниться в секрете. Передача закрытого ключа третьей стороне может создать риски утечки данных, если не обеспечены должные меры безопасности.

2. Минимизация данных. PCI-DSS требует минимизировать объём передаваемых данных, особенно если они связаны с платёжными картами. Если передача SSL-сертификата не связана с обработкой данных карт, это не нарушает стандарт, но всё равно требует осторожности.

3. Контроль доступа. Если третья сторона получает доступ к SSL-сертификату, необходимо убедиться, что у неё есть соответствующие меры безопасности для защиты данных.

4. Соглашения с третьими сторонами. Если вы передаёте SSL-сертификат или связанные данные третьей стороне, необходимо заключить соглашение, которое обязывает их соблюдать требования PCI-DSS и обеспечивать защиту данных.

5. Аудит и мониторинг. Передача SSL-сертификата должна быть задокументирована, а действия третьей стороны должны контролироваться для обеспечения соответствия стандарту.

Таким образом, передача этих ключей шифрования сторонней компании не запрещена, но должна осуществляться с учётом всех требований PCI-DSS к защите данных и минимизации рисков. Что делает передачу SSL-сертификата сильно осложнённой, практически нереализуемой. Отечественные нормативные акты содержат схожие нормы со стандартом.

И есть устойчивое заблуждение на рынке, что только on-premise-решения по защите от атак на уровне приложений, то есть, по сути, стоящие во внутреннем контуре под полным контролем штатных сотрудников, как раз и могут обеспечить защиту без раскрытия SSL-сертификатов. Но только ли они?

Давайте вспомним одного из крупнейших вендоров решений по защите от различных веб-угроз — американскую компанию Cloudflare. У него нет решений on-premise, однако этот вендор предоставляет защиту от DDoS-атак как на сетевом уровне (L3–L4), так и на уровне приложений (L7), а также от ботов. И облачные продукты Cloudflare имеют сертификацию согласно стандарту PCI-DSS. Это означает, что не только on-premise позволяет выполнить требования стандарта, но и сервисная модель вполне может это обеспечить. Иностранцы с облачной моделью защиты и сертифицированными по стандарту решениями также ушли с рынка. Российские провайдеры же в большинстве своём могут защищать от тех же DDoS-атак без раскрытия SSL-сертификатов, но не от ботов. В большинстве, но не все.

Есть и другие причины, побуждающие отечественные банки выбирать on-premise. Одна из них — внутренние протоколы безопасности, которые писались ещё во времена присутствия на российском рынке F5, Imperva, Radware, Fortinet и других иностранцев. В то время и с той сложностью атак на прикладном уровне казалось, что стоящая в инфраструктуре «железка» — это оптимальное решение. Выбор формы поставки решения также зависит от того, удобнее ли относить затраты на приобретение решений защиты к капитальным или же к операционным расходам. И расходы на покупку on-premise часто именно CAPEX (хотя и бывают разные варианты). Ну и, наконец, для многих специалистов по информационной безопасности важен максимальный контроль за всеми процессами в ИТ и ИБ при обеспечении подхода Zero Trust в компании, что также возможно с on-premise.

В идеальной картине мира банки хотели бы иметь on-premise-решение для защиты от DDoS-атак как на сетевом уровне, так и на уровне приложений, включая защиту от ботов. С сетевыми DDoS-атаками (L3–L4) и атаками на уровне приложений (L7) всё относительно просто: на рынке есть необходимые решения от разных вендоров. Мы также активно внедряем свою on-premise-защиту в банках. А вот с защитой от атак продвинутых ботов всё иначе. Допускаю, что ещё несколько лет назад можно было реально поставить внутрь инфраструктуры иностранное коробочное решение и быть уверенным, что боты не пройдут. Сейчас же мы видим, что всё чаще в ход идут фулстек-боты, которые умеют имитировать человеческие действия, адаптироваться под профиль трафика, эмулировать действия браузера, менять IP-адреса и идентификаторы устройств. Чтобы эффективно бороться с такими веб-угрозами, антибот-решения должны обладать мощными алгоритмами машинного обучения, анализировать десятки параметров поведения пользователей, собирать информацию о глобальных базах ботнетов. И даже если организация наймёт лучших на рынке аналитиков, которые будут обучать алгоритмы локального решения бороться с новыми ботами, то обучение это будет происходить всё равно на данных трафика лишь одной организации. Вендор же имеет возможность обучать свой продукт на основании анализа трафика сразу пула веб-ресурсов своих клиентов или даже целых отраслей и выявлять закономерности для повышения точности алгоритмов фильтрации. Такое решение будет априори эффективнее.

Означает ли это, что на российском рынке не может быть никогда готовых on-premise по защите от атак фулстек-ботов? Тоже нет — возможно в этом мире практически всё что угодно, пока не доказано обратное. Но в моей картине мира действительно эффективное средство защиты от ботовых атак не должно быть условно изолированной коробкой во внутреннем контуре. Для качественной защиты необходим гибрид. Пример такого подхода — использование локального компонента платформы фильтрации, который выполняет детекцию и фильтрацию трафика в инфраструктуре компании, но при этом в реальном времени получает актуальные сигнатуры и модели угроз из облака вендора.

Есть ли такие решения на рынке? Есть и уже активно пилотируются в российских банках. Для повышения эффективности защиты они встраиваются в эшелонированную архитектуру ИБ, состоящую из защищённых каналов связи, различных firewall, ПАК по защите от сетевых и сессионных атак, и передают данные об инцидентах в SIEM/SOC (а где-то интегрируются с антифрод-системами).

Так что можно упорно хранить заветную иностранную «железку», надеясь на полный контроль над трафиком и отсутствие атак интеллектуальных фулстек-ботов в обозримом будущем. А можно оглянуться вокруг, изучить внимательно предложения отечественных вендоров и найти свой идеальный on-premise, получающий с регулярным обновлением сигнатуры и модели угроз от вендора. И работающий эффективнее привычной коробки.

[1] Цифровой сертификат, который удостоверяет подлинность веб-сайта и позволяет использовать зашифрованное соединение, содержит цифровую подпись издателя, ключ и имя владельца сертификата, название центра сертификации (прим. ред.).

Реклама. ООО «СЕРВИСПАЙП», ИНН: 7722471770, Erid: 2VfnxvhjqbW

Многие гражданские организации недовольны планами евровластей по ревизии Общего регламента по защите данных (GDPR), утверждая, что этот текст следует считать краеугольным камнем цифрового свода правил Евросоюза. В марте Майкл Макграт, комиссар ЕС по вопросам демократии, правосудия, верховенства права и защиты прав потребителей, объявил, что Комиссия рассматривает возможность упрощения GDPR ради снижения нагрузки на малый бизнес.

Чиновник заверил, что обсуждаемые изменения будут направлены на сокращение обязательств по ведению учёта для МСП и аналогичных организаций с численностью сотрудников менее 500 человек при сохранении основополагающих принципов Регламента. Эту инициативу приветствовали некоторые объединения, включая Центр европейских политических исследований, призвавший к «прагматичному пересмотру, который уравновешивает защиту личной информации с необходимостью использования данных для инноваций и общественной выгоды».

Однако упрощение подверглось резкой критике со стороны многих других структур. В открытом письме комиссару Макграту 108 организаций и частных лиц потребовало оставить GDPR без изменений. Среди подписавших были организации гражданского общества (Access Now и, например, European Digital Rights), компании (Mozilla, Proton и Tuta Mail), учёные и профсоюзы.

Авторы послания опасаются, что поправки могут подорвать принцип подотчётности, лежащий в основе Регламента. По их мнению, предлагаемые изменения позволят некоторым представителям бизнеса избегать ведения учёта обработки данных исключительно на основе численности персонала или текучести кадров, подрывая «риск-ориентированный подход» GDPR и соблюдение обязательств в соответствии с потенциальным ущербом правам и свободам людей.

В письме выражается обеспокоенность тем, что рассматриваемое упрощение может снизить значимость персональных данных как основополагающего права. Подписанты также предупредили: ревизия GDPR рискует спровоцировать «будущую дерегуляцию», что в свою очередь приведёт к более значительным изменениям. Вместо пересмотра законодательства они рекомендовали Еврокомиссии признать, «что текущие проблемы внедрения могут быть решены путём эффективного правоприменения с ясностью, а не дерегуляцией».

Усам Оздемиров

Институт статистических исследований и экономики знаний (ИСИЭЗ) НИУ ВШЭ изучил успехи российского ИТ-сектора за последние пять лет. Выяснилось, что среднегодовой рост объёма реализации собственных продуктов и услуг у вендоров составил почти 30%, а в прошлом году достиг цифры в 46%.

В исследуемый период отечественная ИТ-сфера сохранила лидерские позиции среди крупных отраслей экономики, заявили эксперты. Так, в сегментах B2B, B2G ощутимо увеличился спрос на тиражный софт и услуги заказной разработки и облачной инфраструктуры (IaaS), а в сегменте B2C было отмечено расширение аудитории местных площадок и сервисов.

Прирост валовой добавленной стоимости ИТ-сектора в реальном выражении — 12,6% в год (в 2024 году — 18,2%), увеличение доли в ВВП страны — в 1,8 раза (с 1,32% до 2,43%). Численность специалистов всех направлений при этом приблизилась к миллиону человек.

Инвестиции в импортозамещение ПО и расширение вычислительных мощностей для масштабирования «облаков» и онлайн-платформ росли на 49% ежегодно, что втрое выше динамики по экономике в целом.

Согласно отчёту Thales 2025 Data Threat Report, около трёх четвертей (73%) организаций инвестирует в инструменты безопасности, ориентированные на ИИ, на фоне растущей обеспокоенности киберрисками GenAI. При подготовке документа было опрошено более 3000 ИТ- и ИБ-специалистов из 20 стран и 15 отраслей.

Инвестиции осуществляются за счёт новых бюджетов или перераспределения существующих ресурсов. Более двух третей компаний приобрело такие инструменты у своих поставщиков облачных услуг, три из пяти используют проверенных ИБ-вендоров, а около половины обращается к новым или развивающимся стартапам. Также стало известно, что безопасность, ориентированная на ИИ, стала вторым по величине приоритетом расходов после облачной безопасности.

Почти 70% опрошенных специалистов по ИТ и ИБ назвало быстро меняющуюся экосистему GenAI наиболее тревожным риском для принятия этой технологии. Она включает новые инфраструктуры, SaaS-сервисы и автономных агентов. Другие важные проблемы безопасности, связанные с GenAI, на которые ссылались респонденты, — это отсутствие целостности (64%) и надёжности (57%).

Эти сложности возникают на фоне значительного роста использования GenAI в бизнесе, при этом треть организаций заявила, что находится на этапе «интеграции» или «трансформации» интеграции. Помимо этого, в отчёте указано, что 45% предприятий столкнулось с утечкой данных (небольшое снижение с 49% в 2024 году). Аналитики подчеркнули очевидную связь между уровнем соответствия нормативам и возникновением нарушений: в 2025 году историю нарушений имело 78% предприятий, не прошедших аудит соответствия. Плюс, эксперты отметили, что значительное количество компаний инвестирует в более надёжные методы аутентификации, отказываясь от паролей.

Усам Оздемиров

Для борьбы с дропперством банки хотят установить лимит в 200 тыс. руб. на операции по картам клиентов в возрастной группе от 14 до 18 лет. Такие поправки Национальный совет финансового рынка предложил ко второму чтению законопроекта о запрете на открытие счетов подросткам без разрешения родителей.

В НСФР также видят проблему в потенциальной подделке подписей взрослых и предупреждают, что процедура проверки может оказаться затратной для кредитных учреждений. Указанный же порог, уверены представители организации, более чем приемлем для подростков, но мал для дропперской деятельности.

В целом частный финсектор отреагировал на инициативу положительно — банкиры не ожидают спада экономической активности молодёжи. Даже напротив — ожидают, что обсуждаемое ограничение защитит их клиентов от участия в преступной деятельности. Однако некоторые игроки всё же заметили: усложнение клиентского пути может отпугнуть несовершеннолетних от открытия счетов и плохо сказаться на их финансовой грамотности.