От «голых» каналов к защищенной системе: зачем компаниям криптографическая защита

В Беларуси все больше компаний работают с персональными данными клиентов и сотрудников. Ошибка в защите такой информации сегодня может стоить не только репутации, но и остановки ключевых процессов. О том, как бизнесу выстроить надежную криптографическую защиту каналов связи, пройти аттестацию информационной системы и при этом не сломать повседневную работу, мы поговорили с руководителем компании ООО «Эс-Крипто» (S‑Crypto) Валерием Вижукайло — разработчиком белорусских средств криптографической защиты, которые уже используют сотни организаций в стране.

S‑Crypto — компания-резидент ПВТ, которая создает сертифицированные средства криптографической защиты.

Программный продукт компании S‑Crypto VPN — это линейка средств криптографической защиты, которую компания «Эс‑Крипто» разработала специально для информационных систем с ограниченным доступом к данным. Продукты линейки сертифицированы по техрегламенту ТР 2013/027/BY и соответствуют СТБ 34.101.27‑2022 для разных уровней безопасности.

Решение построено как экосистема:

• сервер S‑Crypto VPN Server формирует защищенные каналы на базе VPN‑TLS и одновременно выступает межсетевым экраном;
• клиент S‑Crypto VPN Client обеспечивает «прозрачную» работу для пользователей и автоматическое восстановление соединения;
• S‑Crypto VPN Server Manager дает администраторам единую точку управления множеством серверов и политикой безопасности.

Для критичных систем предусмотрен программно‑аппаратный комплекс S‑Crypto VPN 1.0 с преднастроенной S‑Crypto OS и встроенной фильтрацией трафика, а мобильный клиент для Android позволяет включать сотрудников «в полях» в общий защищенный контур без дополнительного оборудования.

Эта архитектура уже проверена на практике: более 35 тысяч инсталляций в свыше 300 организациях показывают, что S‑Crypto VPN масштабируется, выдерживает высокие нагрузки и работает в реальных инфраструктурах — от госструктур до коммерческого сектора.

Обязанность и/или необходимость? Зачем бизнесу криптографическая защита

— За последние годы про защиту данных стали говорить гораздо чаще. Что реально изменилось для белорусского бизнеса?

— Ключевое изменение в том, что защита информации перестала быть просто желательной опцией, а стала обязательным требованием. Регулятор ужесточил правила для информационных систем, которые работают с персональными данными, и компании должны не просто заявлять о защите, а проходить серьезную аттестацию.

Для бизнеса это означает: если вы храните или обрабатываете данные клиентов или сотрудников, рано или поздно вы сталкиваетесь с необходимостью выстроить систему защиты по понятным правилам.— О каких персональных данных идет речь? Многие до сих пор думают, что это только паспорт или банковская карта.

— Персональные данные — это любая информация, по которой человека можно однозначно идентифицировать: фамилия, имя, отчество, номер телефона, паспортные данные, адрес, email, комбинации этих данных. Если у компании есть программа лояльности, CRM с картотекой клиентов, база сотрудников — это уже работа с персональными данными. И ответственность за их защиту несет не абстрактный «айтишник», а руководитель организации, либо назначенное им ответственное лицо.

— Что для компании означает «пройти аттестацию информационной системы»?

— Это значит, что в компании должны быть обученные специалисты, которые создав комиссию, примут решение об отнесении информационной системы к определенному классу защиты информации. Затем самостоятельно, либо с привлечением сторонних профильных организаций и в соответствии с действующим законодательством создадут систему защиты информации, которая в большинстве случаев включает в себя межсетевой экран, антивирус, средства криптографической защиты информации. А затем собственно подадут необходимый пакет документов на рассмотрение регулятору и получат соответствующий сертификат. Каждый элемент закрывает свой участок риска.

Криптографическая защита отвечает за то, чтобы данные, которые передаются по сетям — между офисами, филиалами, удаленными пользователями и центром, — были зашифрованы и недоступны для чтения и подмены при перехвате.— А что происходит, если криптографической защиты нет или она выстроена формально «для галочки»?

— Тогда у компании остаются «голые» каналы связи: данные могут передаваться в открытом виде, а значит, их проще перехватить, прочитать или подменить. На практике это выливается в утечки баз, шантаж, риски остановки процессов. Есть примеры, когда инциденты приводили не только к репутационным потерям, но и к реальным простоям: от временной остановки работы конкретной компании до угроз для целых отраслей. Поэтому криптографическая защита важна не только как пункт в требованиях регулятора, но и как элемент, который снижает вероятность самых болезненных сценариев для бизнеса.

Незаметный защитник: как устроено решение S‑Crypto VPN 1.0

— Если объяснить максимально простыми словами, что делает ваше решение для компании?

— Наша задача — сделать так, чтобы данные между разными точками инфраструктуры передавались по зашифрованным каналам. Есть центральный офис, филиалы, удаленные сотрудники, подрядчики — всем им нужен доступ к ресурсам компании. Мы даем средства криптографической защиты, которые позволяют построить защищенный контур: от серверов до рабочих мест и мобильных устройств. Плюс к этому — инструменты управления, чтобы не было «зоопарка настроек», а безопасность можно было поддерживать как единый процесс.

— Из чего состоит этот контур? Какие ключевые элементы в нем есть?

— В центре стоит серверный компонент, который выстаивает защищенные каналы связи. На стороне пользователей — клиентские приложения: на компьютерах, ноутбуках, мобильных устройствах. Они отвечают за то, чтобы соединение устанавливалось корректно и при этом не требовало от человека специальных знаний. Есть уровень централизованного управления: это отдельный инструмент для администраторов, который позволяет работать не с десятками отдельных устройств, а с системой в целом. Для более строгих сценариев предусмотрены программно‑аппаратные комплексы, где мы контролируем не только программную часть, но и платформу целиком.

— С какими организациями вы чаще всего работаете?

— Сейчас это и государственный, и коммерческий сектор. Государственные организации логично были в числе первых: для них защита информационных систем напрямую связана с национальной безопасностью. Но к аттестации приходят и частные компании — крупный и средний ритейл, сети АЗС, консалтинговые и сервисные компании, производственные предприятия, банки и страховые организации. 

На данный момент уже более 300 организаций используют наши продукты.

Один из крупнейших клиентов — организация, в которой к единому «центру» на постоянной основе подключается 7000 удаленных пользователей. По нашим данным, это самая большая система криптографической защиты в Беларуси на сегодняшний день.Общий сценарий для наших клиентов такой: они хранят или обрабатывают значимые объемы персональных данных, проходят аудит, получают перечень необходимых средств защиты — и в этом перечне обязательно присутствуют средства криптографической защиты.

— Как обычно начинается проект? Компания приходит и говорит: «нам нужно что‑то сделать с безопасностью»?

— В большинстве случаев к нам приходят уже после того, как прошли аудит или подготовку к аттестации. В компании появляется понимание: должны быть определенные средства защиты, в том числе криптографические. Дальше есть два сценария.

Первый — идеальный для нас: заказчик хорошо понимает, где у него стоят серверы, какие каналы, сколько пользователей и какие задачи нужно закрыть. Мы вместе с ним подбираем конфигурацию, устанавливаем, проводим пилот и дальше масштабируем решение.

Второй сценарий — когда запрос звучит примерно как «нам сказали, что нужно, но мы не очень понимаем как». Тогда мы больше времени уделяем обследованию: смотрим, как сейчас устроена сеть, какие есть узкие места, что можно улучшить без радикальной перестройки.

— Что такое «пилот» и зачем он нужен?

— Пилот — это небольшой, но «живой» кусок внедрения. Мы не сразу накрываем всю инфраструктуру, а берем часть: один сегмент, один филиал, определенную группу пользователей. На этом участке поднимаем решение, настраиваем доступы, смотрим, как ведет себя система под реальной нагрузкой, как с ней живут администраторы и конечные пользователи. Пилот отвечает на три вопроса: работает ли это технически, удобно ли это людям и вписывается ли это в процессы заказчика. Если ответы устраивают, схема масштабируется дальше практически без изменений.

— Что меняется после внедрения таких средств криптозащиты?

— Самое важное — появляется управляемость. Вместо разрозненных настроек и исторически сложившихся схем администраторы получают единый подход: есть понятные «точки входа» в защищенный сегмент, есть централизованное управление политиками, есть инструменты мониторинга. Это снижает количество ручной работы, риск человеческих ошибок и в целом делает систему более предсказуемой. Когда нужно выдать доступ, изменить его или отозвать, это не превращается в индивидуальное приключение, а делается по отработанной процедуре.

Для рядовых сотрудников компании в идеале защита вообще незаметна. Пользователь должен просто выполнять свою работу: включить компьютер, войти в систему и получить доступ к тем ресурсам, которые ему положены. Все, что связано с криптографией, настройками каналов, проверками, должно происходить за кадром. Мы как раз и стремимся к тому, чтобы для человека это выглядело как «обычная работа», а для бизнеса — как защищенная и управляемая инфраструктура, которая соответствует требованиям и не подводит в критический момент.

С чего начать бизнесу: первые шаги, страхи и чек-лист для руководителя

— Если компания понимает, что работает с персональными данными, но до защиты «руки не доходили», с чего вы советуете начинать?

— Начинать лучше с понимания своих обязательств и текущего состояния. Обычно первый шаг — это консультация и аудит: нужно понять, какие данные вы обрабатываете, к какому классу защиты может относиться ваша информационная система, какие требования к ней предъявляет регулятор.

После этого становится ясно, какой набор средств защиты вам действительно нужен и в каком порядке их внедрять. Многие компании удивляются, насколько проще становится разговор, когда есть такое основание, а не просто общая тревога «нам бы что‑нибудь поставить».

— То есть без погружения в нормативку все равно не обойтись?

— Полностью от этого уйти нельзя, но необязательно разбираться во всех документах самостоятельно. На рынке уже есть организации, которые специализируются на аудите и аттестации, помогают оформить необходимые бумаги, подготовить систему к проверкам.

Наша роль здесь — подсказать, на что обращать внимание в части криптографической защиты, какие решения подойдут под конкретные сценарии и класс информационной системы. При правильном подходе требования можно разложить на понятные шаги и сделать их выполнимыми для обычного бизнеса.

— Какие страхи вы чаще всего слышите от руководителей, когда речь заходит о криптографической защите?

— На первом месте, конечно, стоимость: людям кажется, что это обязательно «очень дорого» и что проект неизбежно «раздуется». Но мы нашли решение: заключили договор с «Беларусбанком» и участвуем в программе «Мост», чтобы наши клиенты могли приобретать продукт в рассрочку на срок до 360 дней.

Второе опасение, что после создания системы защиты всем этим нужно будет постоянно заниматься, а людей нет и брать их неоткуда. Есть страх «сломать» привычную работу: что внедрение сильно усложнит жизнь сотрудникам и затормозит процессы.

Мы стараемся эти опасения разбирать по частям: показывать варианты финансовых решений, объяснять, как можно выстроить сопровождение, и демонстрировать на пилоте, что для конечных пользователей ничего катастрофического не происходит.

— Как бизнесу решать вопрос «кто всем этим будет заниматься»: растить своих специалистов или отдавать на аутсорс?

— Универсального ответа здесь нет, но общая логика такая. Если компания готова вкладываться во внутреннюю экспертизу, есть смысл растить своего специалиста: отправлять на профильные курсы, давать время на освоение системы, закреплять за ним зону ответственности. Это чуть дольше на старте, но в долгую дает больше контроля.

Второй путь — работать через партнеров: на рынке достаточно интеграторов и сервисных компаний, которые берут внедрение и сопровождение на себя. Кто‑то выбирает комбинированный подход: базовую экспертизу оставляют внутри, а сложные задачи и редкие операции отдают наружу.

— По каким признакам видно, что с защитой каналов связи и работой с персональными данными тянуть уже нельзя?

— Я бы назвал несколько очевидных сигналов:.

Во‑первых, у вас есть базы клиентов или сотрудников, но никто точно не знает, как и кем они защищены.

Во‑вторых, удаленный доступ сотрудников и подрядчиков устроен «на доверии»: общие логины, отсутствие понятного процесса выдачи и отзыва прав.

В‑третьих, компания собирается проходить аттестацию информационной системы или уже получила предписания от регулятора.

В‑четвертых, у вас были инциденты или «почти инциденты», после которых стало тревожно, но системных изменений не произошло.

Если вы узнаете себя хотя бы в двух пунктах, это хороший повод не откладывать тему криптографической защиты и хотя бы начать с консультации и пилотного проекта.
Как показывает практика, компании редко начинают заниматься вопросами безопасности до того, как что-то случилось. Пока все в порядке, о ней не вспоминают, но именно она определяет, выдержит ли бизнес первый серьезный удар.

Криптографическая защита — это про то, чтобы данные клиентов и сотрудников не стали слабым местом компании. Сегодня требования регулятора лишь фиксируют то, что и так диктует практика: без защищенных каналов и понятных правил доступа любая цифровая трансформация остается на шатком основании. Когда у бизнеса этот фундамент выстроен, он может спокойно масштабировать сервисы, подключать партнеров, запускать новые онлайн‑сценарии — и не жить в постоянном ожидании инцидента.