«У бухгалтера украли пароль, через неё залезли в систему и полгода выводили деньги через фиктивные счета. А ведь у нас всё было по уму настроено — антивирус, файрвол, парни из ИТ-отдела уверяли, что защита на уровне». Что это, реальная история или страшилка, которой пугают на семинарах по информационной безопасности?

Современный мир очень сильно изменился, и старый подход к безопасности — «своим доверяем, чужих не пускаем» — больше не работает. Сегодня уже не важно, стоит ли у вас забор высотой в три метра, проверяете ли вы «до трусов» каждого входящего, заставляете ли вы людей работать только на доверенных устройствах с системой мониторинга. Ведь калитку для хакеров может открыть свой же сотрудник, даже следуя всем требованиям безопасности.

И тут люди, знакомые с инфобезом, вспомнят концепцию Zero Trust. Звучит как модный термин из мира ИТ, но за ним стояла довольно простая логика. Что же Zero Trust сейчас — роскошный максимум или базовый минимум?

Киберугрозы становятся всё изощрённее: хакеры используют фишинг, программы-вымогатели и атаки на цепочки поставок, когда хакерское ПО встраивается в работу ваших подрядчиков, чтобы получить контроль над инфраструктурой или чувствительными данными. Уровень киберпреступности в России стремительно растёт. Только в третьем квартале 2025 года зафиксировано более 42 тысяч атак, что составляет 40% от общего числа ИТ-инцидентов за год. Это на 73% больше, чем за аналогичный период 2024 года. Ожидаемо, что спрос на внедрение модели Zero Trust в России вырос на 22% в первом квартале 2025 года по сравнению с аналогичным периодом прошлого года. И это ещё до резонансных кибератак на «Аэрофлот», торговую сеть «Винлаб», ЛУКОЙЛ и другие.

Если совсем просто, то Zero Trust (или «нулевое доверие») — это набор принципов, которые велят не доверять никому и никогда. Даже если вы зашли с правильным логином с корпоративного ноутбука и сидите в офисе.

Придумал эту концепцию в 2010 году аналитик из Forrester Research Джон Киндерваг. Но тогда к нему отнеслись как к теоретику-перестраховщику. А через 10 лет Национальный институт стандартов и технологий США (NIST) официально описал семь принципов Zero Trust, и стало понятно, что теория превращается в практику.

Раньше безопасность строили по принципу крепости: толстые стены, ров с водой, подъёмный мост. Все, кто внутри, — свои. Все, кто снаружи, — чужие. Работало, пока сотрудники сидели в офисе за стационарными компьютерами и пользовались только корпоративными программами.

Сейчас где сидит сотрудник? Дома, в кафе, в командировке, на даче. На чём работает? На личном ноутбуке, а то и со смартфона. Чем пользуется? Облачными сервисами, общественными точками доступа к сети, почтой, мессенджерами и искусственным интеллектом. Какой там периметр? Его просто нет. Именно поэтому Zero Trust исходит из того, что злоумышленник может быть уже внутри. И ведёт себя соответственно. В итоге из-за стирания чёткой границы между личным и корпоративным на удочку мошенников может попасться каждый.

Тут три причины, и все довольно приземлённые:

1. Удалённая работа. Пандемия COVID-19 загнала всех по домам, и оказалось, что подключаться к рабочим ресурсам через домашний Wi-Fi (который соседский школьник взламывает за пять минут) — «так себе безопасно». По статистике, более 97% удалённых сотрудников для работы используют личные устройства, и это причина двух третей всех атак на бизнес.

2. Хакеры поумнели. Им больше не нужно взламывать мощный файрвол, который стоит на входе. Проще прислать сотруднику красивое письмо: «Василий Иванович, посмотрите накладную, что-то сумма не сходится». Василий Иванович переходит по ссылке, вводит пароль — и привет.

3. Регуляторы. Банки, медицина, любые компании, работающие с персональными данными, обязаны соблюдать кучу требований. Zero Trust помогает проходить проверки, соблюдать Федеральный закон № 152 о персональных данных и не платить штрафы. Тем не менее, и это не гарантирует защиту на 100%, а только раздувает бюджет на информационную безопасность, которую спонсирует население. Например, чем больше банки тратят на инфобез, тем дороже их услуги для конечного потребителя, обычных людей.

Представьте аэропорт. Вас проверяют не один раз при въезде в страну, а перед каждым полётом: досмотр, документы, багаж. Даже если вы уже летали сто раз. Даже если у вас бизнес-класс. Даже если вы пилот. Особенно, если вы пилот.

Zero Trust работает так же. Вот основные принципы, которые закладываются в систему:

1. Проверяй постоянно. Пароль — это прошлый век. Сегодня нужен второй, третий фактор: код из приложения, отпечаток пальца, подтверждение на телефон. Многофакторная аутентификация (MFA) становится стандартом.

2. Минимум прав. Сотрудник получает доступ только к тому, без чего не может работать. Маркетологу не нужно видеть зарплаты коллег, а стажеру — базу клиентов. Это не потому, что им не доверяют, а чтобы в случае кражи аккаунта ущерб был минимальным.

3. Дели сеть на кусочки. Вместо одной большой сети — множество изолированных сегментов. Взломали один? Дальше не пройдут.

4. Следи за поведением пользователей. Система смотрит: человек обычно заходит в программу с 09:00 до 18:00 с московского IP. А тут в 03:00 ночи из Таиланда пробует получить доступ к бухгалтерии. Это повод заблокировать доступ и спросить: «Ты ли это?».

5. Проверяй устройства на предмет запрашиваемых данных к активным приложениям по отпечатку пальца и их статусу. Для этого на компьютеры сотрудников можно установить специальную программу, которая будет блокировать нетипичные или подозрительные операции. Также если антивирус на ноутбуке год не обновлялся или вовсе отключён, то доступ к корпоративным данным будет закрыт, даже при верном пароле.

Zero Trust — это не одна программа, которую поставил и забыл, и даже не экосистема. Это набор принципов, и каждый поставщик средств для защиты корпоративных данных трактует их по-своему, а также предлагает самые разные решения. В этот список обычно входят:

• межсетевые экраны нового поколения (NGFW), которые следят за трафиком (кстати, забавно называть «новым поколением» то, что появилось в 2008 году, почти 20 лет назад);
• системы управления доступом (IAM), чтобы не плодить лишних учётных записей;
• защита привилегированных пользователей (PAM) для директоров и администраторов (но согласно концепции Zero Trust, в целях безопасности лучше вообще не выделять привилегированных пользователей);
• мониторинг конечных устройств (EDR);
• сбор и анализ событий (SIEM), чтобы видеть картину целиком;
• анализ возможных киберугроз бизнесу и оценка рисков для конкретной компании;
• тестирование на проникновение (пентест) — имитация действий злоумышленника с целью проверки уровня защиты компании и действий сотрудников.

Звучит сложно, но на практике многие начинают с малого — проводят аудит возможных рисков и предпринимают первые шаги для защиты. Например, ставят многофакторную аутентификацию (MFA).

Если в вашей компании внедрена ERP-система, то Zero Trust должна быть обязательно, ведь ERP — это мозг компании. Там всё: финансы, клиенты, заказы, производство, склады. Если туда залезут, то бизнес встанет.

Примечательно, что современные кибератаки часто не преследуют коммерческую цель. То есть хакеры не требуют выкуп, они стремятся нанести максимальный ущерб и выполнить заказ, часто недружественных, воинственно настроенных около государственных группировок. Такие зачистки без возможности восстановления данных ещё называют вайпер-атаками.

Согласно отчётам Positive Technologies 2024 и 2025 годов, вайперы стали отдельной категорией вредоносного ПО, на них приходится 9% всех успешных атак. Лаборатория Касперского классифицирует вайпер-атаки как высококритичные инциденты, так как они приводят к нарушению основной деятельности компаний в 45% случаев.

Как, по мнению людей, незнакомых с практикой хакерских атак, принципы нулевого доверия работают применительно к ERP:

• вход только после подтверждения по телефону или коду;
• внутри системы чёткие роли: например, менеджер видит только свои заказы, а не финансовую отчётность всей компании;
• попытка скачать всю базу клиентов в три часа ночи вызывает блокировку и звонок ответственному;
• данные шифруются и при передаче, и при хранении.

На деле же всё выше перечисленное вовсе не гарантирует компании полную безопасность. Сегодня Zero Trust — это вовсе не вершина, к которой нужно стремиться, а базовый уровень безопасности. Компания, которая не следует этим принципам, в несколько раз повышает риск хакерских атак.

Скорее всего, внедрить Zero Trust с наскока не получится. Придётся разобраться с некоторыми препятствиями:

1. Деньги. Для крупной компании счёт нередко идёт на миллионы рублей — технологии, обучение, перестройка процессов. Но тут нужно понимать, что утечка данных может стоить и дороже.

2. Старое железо. Легаси-системы (те, что работают с 2005 года и боятся обновлений) часто несовместимы с новыми подходами. Иногда проще заменить, чем перекроить. Яркий пример — популярный в России жёлтый поставщик корпоративного ПО.

3. Сотрудники. Люди не любят, когда им усложняют жизнь. Лишний раз подтвердить вход, запомнить новый пароль, не пересылать файлы на личную почту — многие будут раздражаться. Без объяснений и мотивации народ начнёт искать обходные пути.

4. Сложность настройки. Микросегментация сети требует квалификации. На первых порах системные администраторы могут что-то «сломать», и пользователь не сможет зайти туда, куда надо.

Не стоит сразу же пытаться объять необъятное, лучше двигаться постепенно.

Шаг 1. Соберите команду. ИТ, безопасность, ключевые люди компании. Договоритесь, что именно вы хотите защитить в первую очередь.

Шаг 2. Проведите аудит. Посмотрите, у кого какой доступ, какие системы самые критичные, где сейчас «дыры».

Шаг 3. Поставьте MFA на самое важное. Начните с ERP, финансов, клиентских баз.

Шаг 4. Проверьте устройства. У всех ли обновлены ноутбуки, стоит ли защита, не установлены ли права администратора там, где их не должно быть.

Шаг 5. Поговорите с людьми. Проведите встречу, расскажите, почему это важно. Не для того, чтобы следить за ними, а чтобы защитить их же данные.

Шаг 6. Подключите мониторинг. Это поможет видеть аномалии в характере запросов к данным в реальном времени.

Исследования показывают: компании, внедрившие Zero Trust, сокращают риск утечек данных в среднем на 50%. Время обнаружения инцидентов падает со 120 дней до 45. Рынок Zero Trust растёт на 16,8% в год и в 2026 году достигнет 35 миллиардов долларов.

Но главное не в цифрах, а в том, что в бизнес-сообществе меняется отношение к безопасности, которая перестаёт быть заботой только ИТ-отдела. Это становится общей культурой. Когда сотрудник понимает, почему нельзя пересылать рабочие файлы в открытом виде, когда он сам заинтересован в защите, — тогда Zero Trust работает по-настоящему.

ИТ-отдел перестаёт быть пожарной командой, которая тушит пожары 24/7. Бизнес легче масштабируется, быстрее адаптируется к изменениям. Сотрудники получают доступ именно к тому, что им необходимо для работы, и именно тогда, когда нужно.

Скорее всего, хакеры уже имеют доступ к вашей инфраструктуре, а вы об этом даже не знаете. Злоумышленники просто ждут команду свыше или сделку, чтобы продать кому-то доступы или ваши данные. В наше время вскрыть можно любого, поэтому необходимо не просто усиливать требования к безопасности. Согласно исследованию Gartner, 90% неисполнительных директоров (NED) не видят ценности в инвестировании в кибербезопасность.

Концепция Zero Trust уже не в силах дать полную защиту, она лишь снижает риск атак. Поэтому ей на смену приходит новая идея: давайте так выстраивать бизнес-процессы, чтобы их не приходилось защищать, но при этом они оставались в безопасности — были малоценными для хакеров и их заказчиков. Названия у этого подхода пока нет, но оно может быть, например, таким: Zero Security cost (нулевая стоимость безопасности). Также индустрия активно использует термины Cyber Resilience (киберустойчивость) и Cyber Economics (киберэкономика).

В рамках новой концепции меняется и роль директора по информационной безопасности (CISO). Теперь он не просто защищает корпоративные данные, а управляет моделью стоимости этой безопасности. В современном инфобезе это называется Risk-Based Approach (риск-ориентированный подход). Ведь если защита инфраструктуры обходится слишком дорого, особенно дороже самого бизнеса, то вы точно делаете что-то не так.

Поэтому главная задача риск-менеджера (бывшего CISO) — не «купить все антивирусы мира», а сбалансировать бюджет так, чтобы сделать атаку на компанию экономически невыгодной для хакера (когда затраты на взлом выше, чем ценность украденного).

Исследование страховой группы Canopius показало, что за пять лет (с 2019 по 2023 гг.) уровень защиты базового набора мер по кибербезопасности снизился с 96% до 48%. Это говорит о том, что мошенники постоянно адаптируются и находят новые уязвимости быстрее, чем их закрывают специалисты по информационной безопасности. Практика показывает, что следование однотипному набору требований делает бизнес более незащищённым, поэтому важно адаптировать средства защиты под специфику конкретной отрасли или компании.

Инвестиции в Zero Trust сегодня — это не просто траты на безопасность. Это тот самый базовый минимум, без которого ваш бизнес окажется в красной зоне, под угрозой кибератак.