Сергей Груздев: "В развитии отечественного рынка корпоративных решений для идентификации и аутентификации мы видим свою миссию и ответственность"

ИТ-отрасль переживает непростые времена, в том числе в части регулирования, но есть и позитивные моменты. О новых требованиях к защите информации государственных информационных систем, включенных в Приказ № 117 ФСТЭК России, а также об отечественных программных и аппаратных разработках, которые позволяют эти требования выполнять, корреспонденту ICT-Online.ru на ЦИПР-2026 рассказал генеральный директор компании "Аладдин" Сергей Груздев.

- Сергей Львович, в этом году компания "Аладдин" участвует во всероссийской конференцию ЦИПР в Нижнем Новгороде, продукты компании демонстрируются на стенде АРПП "Отечественный софт". Поделитесь, пожалуйста, впечатлениями.

- Со стендом на ЦИПРе мы были первый год, но сам я приезжал и в 2025-ом. Могу констатировать факт: по сравнению с прошлым годом в голосе ИТ-сообщества стало больше грусти, и это не удивительно. Бюджеты режут. Занимаясь проблемами регулирования ИТ-отрасли, чиновники порой не советуются с ИТ-экспертами. Сами же, не обладая достаточной экспертизой, часто не могут правильно сформулировать цели, а только пытаются зафиксировать текущие требования. При развивающемся рынке это значит фиксировать вчерашний день.

Генеральный директор компании "Аладдин" Сергей Груздев на ЦИПР-2026

Опасными последствиями грозит хайп вокруг искусственного интеллекта. Ведутся попытки регулирования ИИ, но если никто не понимает, "что под капотом", то такое регулирование только отбросит ИТ-отрасль назад.

На выставке нас часто спрашивают: а в ваших продуктах (средствах аутентификации) встроен ИИ? Говорю: нет и никогда не будет. Жалко, отвечают, у нас KPI по внедрению ИИ... Если решение "свой или чужой" будет принимать ИИ, то кто будет нести ответственность за такие решения? ИИ свойственны ошибки и галлюцинации, и когда дело касается безопасности корпоративного периметра, нельзя допустить, чтобы кто-то чужой мог быть принят за "своего". Уверен, что сегодняшний ажиотаж насчет возможностей ИИ обязательно сменится отрезвлением.

Импортозамещение идет с большими рисками. В том виде, в котором оно сейчас, оно основывается на некорректно сформулированной задаче. А как следствие, мы решаем не ту проблему, которая для нас болезненна и критична. Мы должны стремиться к технологическому суверенитету и замещать критически важные системы, чтоб в них не было "красной кнопки", управляемой из-за рубежа, и способной вырубить всю нашу ИТ-инфраструктуру. Вместо этого мы пытаемся импортозаместить всё и вся, распыляем силы, это дорого, долго и неэффективно.

На стенде "Аладдин" ЦИПР-2026 – беседа С. Груздева с министром М. Шадаевым

В то же время многие серьезные проблемы, которые лежат на поверхности, долгое остаются без должного внимания. Одна из них – корпоративный PKI – фундамент безопасности и обеспечения доверия в корпоративных информационных системах. Мы пытаемся защищать информационные системы (ИС)…

Но ИС – это лишь набор программного обеспечения, которое работает на "железе" – оборудовании. Чтобы доверять ИС, сначала нужно обеспечить доверие к используемому оборудованию и обеспечить доверенное взаимодействие всех элементов ИТ-инфраструктуры, а только после этого – программного обеспечения и пользователей.

Ключевой компонентой, основой доверия в ИС, является корпоративный Центр Сертификации (не путать с Удостоверяющим Центром для обслуживания эл. подписи). Он является центром доверия и выполняет функции корпоративного "нотариуса", обеспечивая идентификацию каждого элемента ИС и подтверждая подлинность (аутентификацию).

Однако в подавляющем большинстве ИС таким центром доверия является иностранное ПО – Microsoft CA (CS), а его отключение или блокирование грозит катастрофой – инфраструктура организации развалится в течение суток, потому что все перестанут доверять всем, и как следствие, их взаимодействие будет заблокировано. Это единая точка отказа всех наших ИТ-инфраструктур. Это заложенная мина. Это стратегическое оружие, которое в любой момент может быть использовано против нас.

Много вопросов и к всевозможным реестрам: как безопасник, считаю, что они приносят немало вреда. Выполняя требования двух министерств для попадания в реестры, отечественные разработчики вынуждены загружать в ГИСП избыточную и чувствительную информацию, включая прошивки устройств (ПАКов), схемотехнику, цепочки поставок, списки разработчиков, их зарплаты и пр. Вся эта информация уже утекала, и гарантии от новых утечек никто не дает. Все это наносит непоправимый вред. И убивает мелкий и средний бизнес в России – не каждой компании под силу подготовить сотни документов на свой продукт для доказательства его «российскости» и содержать дополнительный штат людей, занимающихся только этим.

- С какими вопросами участники ЦИПРа приходили к стенду «Аладдина»?

- Лидер в топ-3 вопросов к "Ададдину" на ЦИПРе – как обеспечить безопасность ИТ-инфраструктуры в связи с необходимостью замены MS CA. Многие переезжают с MS Windows на Linux, но миграцию серьезно тормозит отсутствие в Linux корпоративного "нотариуса", роль которого в случае информационной системы играет корпоративный центр сертификации (CA), и инфраструктуры открытых ключей (PKI), с помощью которой CA решает задачи идентификации и аутентификации каждого объекта. У "Аладдина" для решения этой задачи есть Aladdin Enterprise CA.

Второе, с чем к нам обращаются - вопросы организации безопасной дистанционной работы. Нас часто бьют по цепочкам поставок, по подрядчикам и контрагентам. В период пандемии, когда пришлось работать и подключаться к своим ИС с домашних компьютеров, мы хорошо проработали этот вопрос со ФСТЭК России и вывели на рынок продукт для безопасной дистанционной работы – Aladdin LiveOffice.

Сейчас он очень востребован для работы как привилегированных пользователей, так и сотрудников подрядных организаций. Буквально, это "ноутбукозаменитель" в кармане – специализированный USB-токен для безопасной дистанционной работы из недоверенной среды.

Третье – к нам, как экпертам, разработчикам 14-ти национальных стандартов (ГОСТов), обращаются с вопросами об аутентификации пользователей и ее правильной реализации. Для нас этот год проходит под флагом выхода Приказа № 117 ФСТЭК России, в котором появился ряд принципиально новых требований к защите информации государственных информационных систем и других ресурсов, содержащих информацию ограниченного доступа. И одно из них – фактический запрет использования паролей в ИС для аутентификации пользователей и переход на двухфакторную аутентификацию – усиленную или строгую.

- По вашей оценке, в какой мере грамотно выстроенная аутентификация важна для корпоративной безопасности?

- Аутентификация как таковая - это фундамент и основа всей ИБ. Примерно 70% (на одном из форумов меня поправили: не менее 90 %) всех утечек и краж данных происходит из-за того, что многие организации до сих пор используют пароли. В век ИИ пароли больше не работают. Но вместо того, чтобы устранять причину – внедрить правильную систему аутентификации, отказаться от паролей, многие начинают бороться со следствием: устанавливать самозапреты, пытаются распознавать дипфейки при использовании биометрии (ЕБС) и пр.

Одно из значимых достоинств Приказа № 117 ФСТЭК России – запрет на использование паролей. Их как допустимую минимальную меру оставили только для малых (объектовых) систем класса защищенности К3 и для внутреннего локального пользователя, работающего из доверенной среды. Для остальных случаев - усиленная (двухфакторная) аутентификация или строгая – двухфакторная с использованием криптографии. В инфраструктуре должна быть внедрена инфраструктура открытых ключей (PKI) и корпоративный "нотариус" - корпоративный центр сертификации (СА).

Такие требования появились, и я считаю это тектоническим сдвигом, революционным шагом для всей отрасли. Исполнение Приказа позволит предотвратить 70-90% всех будущих взломов и уязвимостей в корпоративных системах. С точки зрения бюджетов на ИБ выполнить эти требования компаниям вполне по силам: потребуется примерно 20% бюджета, что даст до 80% результата.

- Верно ли, что адаптивная аутентификация становится заметным трендом на рынке доступа?

- К счастью, да, и это большой прогресс. Термин "адаптивная аутентификация" я ввел около года назад, выступая на одной из конференций. И вижу, что термин прижился, используется. На ЦИПР-2026 он звучал неоднократно.

Суть в следующем: согласно требованиям ГОСТов по аутентификации, достоверность результатов аутентификации зависит от многих параметров, таких как сегмент информационной системы, значимость находящейся в нем информации, роль пользователя в системе (обычный или привилегированный), набор его прав, его местоположение (офис, дом, командировка, за границей РФ) и так далее. Чем больше рисков, тем больше должно быть компенсирующих мер, способов и факторов для подтверждения личности.

При этом удобно, если заказчик, пользуясь решением для аутентификации, может адаптировать его под каждого пользователя.

- Недавно в портфеле "Ададдина" появился продукт JaCarta Identity Provider (JIP), который представляет собой инструмент SSO. Расскажите, пожалуйста, о нем и первых проектах.

- JIP как SSO – это "вишенка на торте", когда, подключив токен и войдя в одно приложение, пользователь автоматически получает доступ во все другие приложения и сервисы. Отмечу, что JIP – это горизонтальный SSO. Для "толстых" корпоративных приложений SSO мы реализуем через домен. А JIP решает проблему веб-приложений, у каждого из которых, как правило, есть своя система аутентификации и авторизации. JIP позволяет не тратить время и усилия на авторизацию в каждом из них. Он работает так же, как, например, ЕСИА для госсервисов.

Мы сделали JIP в ноябре 2025 года и показали одному нашему заказчику – крупной компании, которая рассматривала возможность внедрить у себя Keycloak, требующий большого и сложного проекта. В отличие от него, JIP развертывается достаточно быстро, сам по себе простой и легкий, не требует долгого прописывания правил и настройки - надо только указать набор приложений и проставить галочки, кому и куда открывать доступ. Нашими первыми клиентами стали крупные банки из топ-10, промышленность, ритейлеры – все они высоко оценили эту простоту и удобство.

Надо сказать, что JIP подойдет любым и крупным, и средним компаниям. Но пока у нас версия 1.0, и на рынке Enterprise ее покупают только те, кому это нужно срочно. Остальные ждут версий 1.1 или 1.2 как более стабильных и сертифицированных.

- Как возможности JIP соотносятся с требованиями Приказа № 117 ФСТЭК России?

- По требованиям в части авторизации и аутентификации в приложениях JIP полностью соответствует Приказу № 117. Мы апологеты изменений, прописанных в этом документе, и наши продукты должны быть тараном на рынке ИБ. Более того, все то, что мы считаем важным, но это не зафиксировано в требованиях, - мы все равно будем реализовывать, объясняя рынку необходимость таких решений, формируя потребности. В этом мы видим свою миссию и ответственность.

- В чем конкурентные преимущества JIP по сравнению с отечественными аналогами?

- Отечественные аналоги есть, но ценность JIP в том, что это не отдельный продукт, который надо отдельно внедрять и смотреть, как он вписывается в экосистему. Он уже вписан в наш пакет. Кто-то в ответ на это напомнит, что, возможно, "не стоит держать все яйца в одной корзине". Но я знаю компании, которые взяли продукты от разных вендоров, потратили на их интеграцию от нескольких месяцев до полутора лет, а потом буквально через три месяца получили проблемы с обновлением и поддержкой элементов системы.

В случае с SSO важнее не то, у кого больше функциональности, а как продукт вписан в инфраструктуру и как он будет работать в течение всего жизненного цикла. Без "рюшечек и бантиков" можно прожить. Да и в целом, на мой взгляд, рынок уже отходит от функциональных сравнений, функционал перестает быть главным критерием.

- В числе новинок "Аладдин" - персональный USB-токен с биометрической идентификацией пользователя по отпечаткам пальцев. Как он работает и для чего нужен?

- С точки зрения "вау-фактора" и "дай попробовать" этот токен у нас - гвоздь сезона. Имея аппаратный токен, контактной биометрией подтверждается, что я - владелец токена, разблокирую его, а уже следующим фактором аутентификации может быть ПИН-код. Это знаковое решение и революционное изменение для рынка.

Персональный USB-токен с биометрической идентификацией пользователя по отпечаткам пальцев

Наш токен представляет собой небольшое – меньше спичечного коробка – устройство, оснащенное сканером отпечатков пальцев. Работает он следующим образом. Когда пользователь, которому принадлежит токен, прикладывает палец к сканеру, сенсор на борту токена снимает отпечаток пальца и сравнивает с шаблоном, который хранится в чипе. При совпадении он дает команду на активацию функционала токена. Устройство превращается в обычный USB-токен для подписи, доступа в систему и так далее. То есть, фактически, отпечаток пальца - это способ привязать токен к личности человека. Это безопасно, поскольку, и это подтвержденный наукой факт, возможность встретить своего "биологического близнеца" по отпечатку пальца равняется 1:100000.

- А можно ли, по вашему опыту, использовать в системах аутентификации биометрию на базе ЕБС?

- Начну с матчасти: учебник 2013 года "Основы биометрии" – там сказано, что биометрия делится на контактную и бесконтактную. И далее: использовать бесконтактную биометрию (а к ней относится наша ЕБС) для целей аутентификации в ИС и для прохода на объекты КИИ категорически недопустимо. Почему? Потому что мы считаем (2013 год!), что генеративный ИИ через 10 лет сможет на лету генерировать дипфейки, неотличимые от объекта, и бороться с этим будет крайне сложно и дорого.

Вторая проблема связана с местом хранения биометрических данных – в единой централизованной базе или распределенно (в составе персонального устройства, как у нас). Если персональные биометрические данные хранятся в единой базе данных, то как "ружье на стене, которое обязано выстрелить в конце спектакля", эти данные из базы буду украдены. А поменять их после такой утечки будет практически невозможно.

Наш персональный USB-токен с биометрической идентификацией по отпечатку пальца относится ко второй группе. Биометрические данные пользователя (отпечатки пальцев) не попадает в систему, не хранится в базе данных, похитить их невозможно.

- В каком направлении "Аладдин" продолжит разработки? Будут ли в названных решениях существенные изменения?

- Сейчас мы дорабатываем Aladdin JIP до полноценной Enterprise-версии. Изменения будут, но несущественные, ничего принципиально нового в JIP с точки зрения архитектуры продукта не появится.

Кроме того, мы хотим добавить в нашей линейке вертикальный SSO, который будет работать для любых приложений: доменных, браузерных, для 1С, СРМ – пробрасываться от уровня доверенной загрузки в любое приложение, включая JIP. После его появления семейство решений "Аладдина" можно было бы назвать полноценной экосистемой, но мне не нравится это слово. Оно подразумевает замкнутое самодостаточное пространство, которое, как в фильме "Аватар", способно разрушиться от любого воздействия извне. А нам не нужно строить такие "островки" - нам нужно предоставить другим разработчикам возможность использовать наши решения.

- Большое спасибо за беседу!

Оригинал интервью читайте в ICT-Online.