Сергей Груздев («Аладдин»): «В развитии отечественного рынка корпоративных решений для идентификации и аутентификации мы видим свою миссию и ответственность»

— Сергей Львович, в этом году компания «Аладдин» участвует во всероссийской конференции ЦИПР в Нижнем Новгороде, продукты компании демонстрируются на стенде АРПП «Отечественный софт». Поделитесь, пожалуйста, впечатлениями.

— Со стендом на ЦИПРе мы были первый год, но сам я приезжал и в 2025-м. Могу констатировать факт: по сравнению с прошлым годом в голосе ИТ-сообщества стало больше грусти, и это не удивительно. Бюджеты режут. Занимаясь проблемами регулирования ИТ-отрасли, чиновники порой не советуются с ИТ-экспертами. Сами же, не обладая достаточной экспертизой, часто не могут правильно сформулировать цели, а только пытаются зафиксировать текущие требования. При развивающемся рынке это значит фиксировать вчерашний день.

Генеральный директор компании «Аладдин» Сергей Груздев на ЦИПР-2026
Фото: Анна Меченова / ICT-Online.ru

Опасными последствиями грозит хайп вокруг искусственного интеллекта. Ведутся попытки регулирования ИИ, но если никто не понимает, «что под капотом», то такое регулирование только отбросит ИТ-отрасль назад.

На выставке нас часто спрашивают: а в ваших продуктах (средствах аутентификации) встроен ИИ? Говорю: нет и никогда не будет. Жалко, отвечают, у нас KPI по внедрению ИИ... Если решение «свой или чужой» будет принимать ИИ, то кто будет нести ответственность за такие решения? ИИ свойственны ошибки и галлюцинации, и когда дело касается безопасности корпоративного периметра, нельзя допустить, чтобы кто-то чужой мог быть принят за «своего». Уверен, что сегодняшний ажиотаж насчет возможностей ИИ обязательно сменится отрезвлением.

Импортозамещение идет с большими рисками. В том виде, в котором оно сейчас, оно основывается на некорректно сформулированной задаче. А как следствие, мы решаем не ту проблему, которая для нас болезненна и критична. Мы должны стремиться к технологическому суверенитету и замещать критически важные системы, чтоб в них не было «красной кнопки», управляемой из-за рубежа, и способной вырубить всю нашу ИТ-инфраструктуру. Вместо этого мы пытаемся импортозаместить всё и вся, распыляем силы, это дорого, долго и неэффективно.

На стенде «Аладдин» на ЦИПР-2026 — беседа Сергея Груздева с министром цифрового развития,
связи и массовых коммуникаций РФ Максутом Шадаевым
Фото предоставлено компанией «Аладдин»

В то же время многие серьезные проблемы, которые лежат на поверхности, долгое остаются без должного внимания. Одна из них – корпоративный PKI – фундамент безопасности и обеспечения доверия в корпоративных информационных системах.

Мы пытаемся защищать информационные системы (ИС)… Но ИС – это лишь набор программного обеспечения, которое работает на «железе» – оборудовании. Чтобы доверять ИС, сначала нужно обеспечить доверие к используемому оборудованию и обеспечить доверенное взаимодействие всех элементов ИТ-инфраструктуры, а только после этого – программного обеспечения и пользователей.

Ключевой компонентой, основой доверия в ИС, является корпоративный Центр Сертификации (не путать с Удостоверяющим Центром для обслуживания электронной подписи). Он является центром доверия и выполняет функции корпоративного «нотариуса», обеспечивая идентификацию каждого элемента ИС и подтверждая подлинность (аутентификацию).

Однако в подавляющем большинстве ИС таким центром доверия является иностранное ПО – Microsoft CA (CS), а его отключение или блокирование грозит катастрофой – инфраструктура организации развалится в течение суток, потому что все перестанут доверять всем, и как следствие, их взаимодействие будет заблокировано. Это единая точка отказа всех наших ИТ-инфраструктур. Это заложенная мина. Это стратегическое оружие, которое в любой момент может быть использовано против нас.

Много вопросов и к всевозможным реестрам: как безопасник, считаю, что они приносят немало вреда. Выполняя требования двух министерств для попадания в реестры, отечественные разработчики вынуждены загружать в ГИСП избыточную и чувствительную информацию, включая прошивки устройств (ПАКов), схемотехнику, цепочки поставок, списки разработчиков, их зарплаты и прочее. Вся эта информация уже утекала, и гарантии от новых утечек никто не дает. Все это наносит непоправимый вред. И убивает мелкий и средний бизнес в России – не каждой компании под силу подготовить сотни документов на свой продукт для доказательства его «российскости» и содержать дополнительный штат людей, занимающихся только этим.

— С какими вопросами участники ЦИПРа приходили к стенду «Аладдина»?

— Лидер в топ-3 вопросов к «Ададдину» на ЦИПРе – как обеспечить безопасность ИТ-инфраструктуры в связи с необходимостью замены MS CA. Многие переезжают с MS Windows на Linux, но миграцию серьезно тормозит отсутствие в Linux корпоративного «нотариуса», роль которого в случае информационной системы играет корпоративный центр сертификации (CA), и инфраструктуры открытых ключей (PKI), с помощью которой CA решает задачи идентификации и аутентификации каждого объекта. У «Аладдина» для решения этой задачи есть Aladdin Enterprise CA.

Второе, с чем к нам обращаются - вопросы организации безопасной дистанционной работы. Нас часто бьют по цепочкам поставок, по подрядчикам и контрагентам. В период пандемии, когда пришлось работать и подключаться к своим ИС с домашних компьютеров, мы хорошо проработали этот вопрос со ФСТЭК России и вывели на рынок продукт для безопасной дистанционной работы – Aladdin LiveOffice.

Сейчас он очень востребован для работы как привилегированных пользователей, так и сотрудников подрядных организаций. Буквально, это «ноутбукозаменитель» в кармане – специализированный USB-токен для безопасной дистанционной работы из недоверенной среды.

Третье – к нам, как экспертам, разработчикам 14-ти национальных стандартов (ГОСТов), обращаются с вопросами об аутентификации пользователей и ее правильной реализации. Для нас этот год проходит под флагом выхода Приказа № 117 ФСТЭК России, в котором появился ряд принципиально новых требований к защите информации государственных информационных систем и других ресурсов, содержащих информацию ограниченного доступа. И одно из них – фактический запрет использования паролей в ИС для аутентификации пользователей и переход на двухфакторную аутентификацию – усиленную или строгую.

— По вашей оценке, в какой мере грамотно выстроенная аутентификация важна для корпоративной безопасности?

— Аутентификация как таковая — это фундамент и основа всей ИБ. Примерно 70 % (на одном из форумов меня поправили: не менее 90 %) всех утечек и краж данных происходит из-за того, что многие организации до сих пор используют пароли. В век ИИ пароли больше не работают. Но вместо того, чтобы устранять причину – внедрить правильную систему аутентификации, отказаться от паролей, многие начинают бороться со следствием: устанавливать самозапреты, пытаются распознавать дипфейки при использовании биометрии (ЕБС) и так далее.

Одно из значимых достоинств Приказа № 117 ФСТЭК России – запрет на использование паролей. Их как допустимую минимальную меру оставили только для малых (объектовых) систем класса защищенности К3 и для внутреннего локального пользователя, работающего из доверенной среды. Для остальных случаев — усиленная (двухфакторная) аутентификация или строгая – двухфакторная с использованием криптографии. В инфраструктуре должна быть внедрена инфраструктура открытых ключей (PKI) и корпоративный «нотариус» - корпоративный центр сертификации (СА).

Такие требования появились, и я считаю это тектоническим сдвигом, революционным шагом для всей отрасли. Исполнение Приказа позволит предотвратить 70-90 % всех будущих взломов и уязвимостей в корпоративных системах. С точки зрения бюджетов на ИБ выполнить эти требования компаниям вполне по силам: потребуется примерно 20 % бюджета, что даст до 80 % результата.

— Верно ли, что адаптивная аутентификация становится заметным трендом на рынке доступа?

 — К счастью, да, и это большой прогресс. Термин «адаптивная аутентификация» я ввел около года назад, выступая на одной из конференций. И вижу, что термин прижился, используется. На ЦИПР-2026 он звучал неоднократно.

Суть в следующем: согласно требованиям ГОСТов по аутентификации, достоверность результатов аутентификации зависит от многих параметров, таких как сегмент информационной системы, значимость находящейся в нем информации, роль пользователя в системе (обычный или привилегированный), набор его прав, его местоположение (офис, дом, командировка, за границей РФ) и так далее. Чем больше рисков, тем больше должно быть компенсирующих мер, способов и факторов для подтверждения личности.

При этом удобно, если заказчик, пользуясь решением для аутентификации, может адаптировать его под каждого пользователя.

Требования к аутентификации пользователей. Из презентации компании «Аладдин»
Изображение предоставлено компанией «Аладдин»

— Недавно в портфеле «Ададдина» появился продукт JaCarta Identity Provider (JIP), который представляет собой инструмент SSO. Расскажите, пожалуйста, о нем и первых проектах.

— JIP как SSO – это «вишенка на торте», когда, подключив токен и войдя в одно приложение, пользователь автоматически получает доступ во все другие приложения и сервисы. Отмечу, что JIP – это горизонтальный SSO. Для «толстых» корпоративных приложений SSO мы реализуем через домен. А JIP решает проблему веб-приложений, у каждого из которых, как правило, есть своя система аутентификации и авторизации. JIP позволяет не тратить время и усилия на авторизацию в каждом из них. Он работает так же, как, например, ЕСИА для госсервисов.

Мы сделали JIP в ноябре 2025 года и показали одному нашему заказчику – крупной компании, которая рассматривала возможность внедрить у себя Keycloak, требующий большого и сложного проекта. В отличие от него, JIP развертывается достаточно быстро, сам по себе простой и легкий, не требует долгого прописывания правил и настройки - надо только указать набор приложений и проставить галочки, кому и куда открывать доступ. Нашими первыми клиентами стали крупные банки из топ-10, промышленность, ритейлеры – все они высоко оценили эту простоту и удобство.

Надо сказать, что JIP подойдет любым и крупным, и средним компаниям. Но пока у нас версия 1.0, и на рынке Enterprise ее покупают только те, кому это нужно срочно. Остальные ждут версий 1.1 или 1.2 как более стабильных и сертифицированных.

— Как возможности JIP соотносятся с требованиями Приказа № 117 ФСТЭК России?

— По требованиям в части авторизации и аутентификации в приложениях JIP полностью соответствует Приказу № 117. Мы апологеты изменений, прописанных в этом документе, и наши продукты должны быть тараном на рынке ИБ. Более того, все то, что мы считаем важным, но это не зафиксировано в требованиях, - мы все равно будем реализовывать, объясняя рынку необходимость таких решений, формируя потребности. В этом мы видим свою миссию и ответственность.

— В чем конкурентные преимущества JIP по сравнению с отечественными аналогами?

— Отечественные аналоги есть, но ценность JIP в том, что это не отдельный продукт, который надо отдельно внедрять и смотреть, как он вписывается в экосистему. Он уже вписан в наш пакет. Кто-то в ответ на это напомнит, что, возможно, «не стоит держать все яйца в одной корзине». Но я знаю компании, которые взяли продукты от разных вендоров, потратили на их интеграцию от нескольких месяцев до полутора лет, а потом буквально через три месяца получили проблемы с обновлением и поддержкой элементов системы.

В случае с SSO важнее не то, у кого больше функциональности, а как продукт вписан в инфраструктуру и как он будет работать в течение всего жизненного цикла. Без «рюшечек и бантиков» можно прожить. Да и в целом, на мой взгляд, рынок уже отходит от функциональных сравнений, функционал перестает быть главным критерием.

— В числе новинок «Аладдин» — персональный USB-токен с биометрической идентификацией пользователя по отпечаткам пальцев. Как он работает и для чего нужен?

— С точки зрения «вау-фактора» и «дай попробовать» этот токен у нас — гвоздь сезона. Имея аппаратный токен, контактной биометрией подтверждается, что я - владелец токена, разблокирую его, а уже следующим фактором аутентификации может быть ПИН-код. Это знаковое решение и революционное изменение для рынка.

Персональный USB-токен с биометрической идентификацией пользователя
по отпечаткам пальцев – разработка «Аладдин»
Фото: Анна Меченова / ICT-Online.ru

Наш токен представляет собой небольшое – меньше спичечного коробка – устройство, оснащенное сканером отпечатков пальцев. Работает он следующим образом. Когда пользователь, которому принадлежит токен, прикладывает палец к сканеру, сенсор на борту токена снимает отпечаток пальца и сравнивает с шаблоном, который хранится в чипе. При совпадении он дает команду на активацию функционала токена. Устройство превращается в обычный USB-токен для подписи, доступа в систему и так далее. То есть, фактически, отпечаток пальца - это способ привязать токен к личности человека. Это безопасно, поскольку, и это подтвержденный наукой факт, возможность встретить своего «биологического близнеца» по отпечатку пальца равняется 1:100000.

— А можно ли, по вашему опыту, использовать в системах аутентификации биометрию на базе ЕБС?

— Начну с матчасти: учебник 2013 года «Основы биометрии» – там сказано, что биометрия делится на контактную и бесконтактную. И далее: использовать бесконтактную биометрию (а к ней относится наша ЕБС) для целей аутентификации в ИС и для прохода на объекты КИИ категорически недопустимо. Почему? Потому что мы считаем (2013 год!), что генеративный ИИ через 10 лет сможет на лету генерировать дипфейки, неотличимые от объекта, и бороться с этим будет крайне сложно и дорого.

Вторая проблема связана с местом хранения биометрических данных – в единой централизованной базе или распределенно (в составе персонального устройства, как у нас). Если персональные биометрические данные хранятся в единой базе данных, то как «ружье на стене, которое обязано выстрелить в конце спектакля», эти данные из базы будут украдены. А поменять их после такой утечки будет практически невозможно.

Наш персональный USB-токен с биометрической идентификацией по отпечатку пальца относится ко второй группе. Биометрические данные пользователя (отпечатки пальцев) не попадают в систему, не хранятся в базе данных, похитить их невозможно.

— В каком направлении «Аладдин» продолжит разработки? Будут ли в названных решениях существенные изменения?

— Сейчас мы дорабатываем Aladdin JIP до полноценной Enterprise-версии. Изменения будут, но несущественные, ничего принципиально нового в JIP с точки зрения архитектуры продукта не появится.

Кроме того, мы хотим добавить в нашей линейке вертикальный SSO, который будет работать для любых приложений: доменных, браузерных, для 1С, СРМ – пробрасываться от уровня доверенной загрузки в любое приложение, включая JIP. После его появления семейство решений «Аладдина» можно было бы назвать полноценной экосистемой, но мне не нравится это слово. Оно подразумевает замкнутое самодостаточное пространство, которое, как в фильме «Аватар», способно разрушиться от любого воздействия извне. А нам не нужно строить такие «островки» - нам нужно предоставить другим разработчикам возможность использовать наши решения.

— Большое спасибо за беседу!