Классическая модель корпоративной безопасности строилась вокруг запретов, регламентов и контроля доступа. Однако в условиях распределенной инфраструктуры, гибридной работы и постоянного давления на скорость процессов такой подход все чаще дает побочные эффекты: сотрудники начинают использовать теневые инструменты, ИТ-команды сталкиваются с ростом операционных барьеров, а бизнес — с потерей времени и управляемости.
В статье Мартун Минасян, исполнительный директор агентства белых хакеров Singleton Security, разбирается, где заканчивается оправданная защита и начинается система ограничений, которая сама становится источником риска.
Жесткие регламенты и теневые ИТ-практики
Во многих компаниях усиление информационной безопасности до сих пор воспринимается как прямой путь к большей управляемости. Логика такая, что чем больше уровней авторизации, ограничений и процедур согласования встроено в повседневную работу, тем надежнее, на первый взгляд, выглядит корпоративный контур.
Однако в реальности все это работает сложнее, а формальное ужесточение правил еще не гарантирует, что бизнес действительно получит больше контроля над критичными процессами и данными.
Когда защита начинает влиять на скорость базовых действий?
Если сотрудник не может быстро отправить файл, подключить нужный сервис или получить доступ к рабочему инструменту, задача не исчезает — она начинает решаться в обход утвержденного контура. Так возникает теневая ИТ-среда (Shadow IT) — использование несанкционированного программного обеспечения, облачных платформ, мессенджеров и ИИ-инструментов, к которым команды обращаются, когда официальная инфраструктура оказывается слишком громоздкой для текущей работы.
Такие практики чаще всего возникают не из стремления нарушить правила, а как реакция на операционные проблемы между регламентом и задачей. На уровне отчетности защитный контур может выглядеть стабильным и формально надежным. Но если сотрудники массово начинают решать рабочие задачи через личные облачные аккаунты, внешние платформы и несанкционированные сервисы, реальная модель работы уже начинает расходиться с официальной.
Эта логика подтверждается и на уровне пользовательского опыта. Согласно отчету Ivanti Digital Employee Experience 2025, офисный сотрудник в среднем сталкивается с 3,6 технологическими инцидентами и 2,7 прерываниями из-за обновлений безопасности в месяц. Для крупной компании такие потери времени складываются уже в системный фактор снижения продуктивности и замедления ключевых операций.
В результате возникает парадокс: формально контроль усиливается, а фактическая прозрачность процессов снижается. Чем жестче и медленнее работает официальный контур, тем выше вероятность, что часть критичных действий переместится в неформальную среду, где риски труднее фиксировать и оценивать.
Запреты и их логика в бизнес-процессах
Когда в компании уже сформировалась теневая ИТ-среда, это почти всегда означает, что между требованиями безопасности и реальной организацией работы возник разрыв. В такой ситуации запреты перестают сдерживать риски и начинают показывать, что формальная модель управления не совпадает с повседневной логикой процессов.
Другими словами, бизнес-задача почти всегда обладает большей срочностью, чем административное ограничение. Когда подразделению нужно быстро согласовать документ, передать материалы клиенту, подключить новый сервис или ускорить запуск проекта, оно ориентируется прежде всего на срок и результат. Если безопасный путь оказывается слишком длинным, сотрудники начинают искать более короткий маршрут.
И очень важный момент — теневые практики нельзя сводить только к вопросу дисциплины. Во многих случаях это системная реакция на неудобную модель доступа к цифровым инструментам. Если согласование нового решения занимает недели, а задача требует действий в течение дня, запрет начинает проигрывать самой конструкции бизнес-процесса. Для сотрудника внешний сервис в такой момент выглядит способом успеть сделать работу, когда официальный контур не дает сопоставимой по скорости альтернативы.
Как сама модель управления создает узкие места
Дополнительную роль играет и организационная модель, в которой ИТ-подразделение или служба безопасности сохраняют функцию единственного пропускного пункта. Как можно понять, такая схема может работать в статичной среде, где число цифровых сценариев ограничено. Но в распределенной инфраструктуре, гибридной работе и постоянном давлении на скорость процессов она все чаще начинает создавать узкие места.
В результате компания сталкивается с более серьезной проблемой, чем отдельные нарушения регламента. Когда сотрудники переходят на сторонние мессенджеры или публичные ИИ-сервисы, организация теряет единое представление о том, где именно проходят критичные операции и через какие каналы в действительности движется чувствительная информация.
На этом фоне часть компаний начинает пересматривать саму логику запретительной модели. Один из признаков такого пересмотра — что-то вроде внутренней амнистии для выявления скрытых сервисов и несанкционированных сценариев работы. По сути, это признание того, что проблему уже нельзя решить простым ужесточением правил.
Сначала бизнесу приходится понять, какими инструментами сотрудники реально пользуются и какие потребности официальный контур не смог закрыть. И именно здесь тема безопасности перестает быть только разговором про технологии и регламенты. Ведь чем выше давление сроков и чем дороже для бизнеса задержка, тем заметнее становится влияние человеческого фактора — усталости, перегрузки и выгорания.
Перегрузка команд и возрастание поведенческих рисков
Разрыв между требованиями безопасности и реальной организацией работы быстро становится заметен на уровне поведения сотрудников. Когда простая задача требует лишних согласований и дополнительных проверок — давление в людях накапливается.
Следовательно, в такой среде меняется и отношение к риску. Неудобство корпоративного инструмента ощущается сразу, а возможный инцидент кажется чем-то далеким. Поэтому под нагрузкой сотрудники чаще выбирают способ быстрее закрыть задачу, даже если для этого приходится обходить правила.
Эту связь подтверждают и данные. По информации 1Password State of Access, о выгорании сообщают 80% рядовых сотрудников и 84% специалистов по безопасности. При этом выгоревшие сотрудники соблюдают правила ИБ хуже и чаще используют неразрешенное программное обеспечение для решения текущих задач.
Для бизнеса это серьезный сигнал, ведь поведенческий риск возникает уже не только из-за невнимательности или слабой дисциплины, а из-за самой рабочей среды. Чем выше перегрузка и чем дороже задержка по срокам, тем выше вероятность, что сотрудники будут искать обходные сценарии.
Эта логика затрагивает и сами службы безопасности. Они работают под тем же давлением сроков и изменений, что и остальные команды. Поэтому вопрос разумной защиты все сильнее связан не только с технологиями, но и с тем, насколько рабочая среда вообще позволяет соблюдать правила без постоянного конфликта с задачами бизнеса.
Где проходит экономическая граница разумной защиты?
В момент, когда сотрудники начинают обходить правила ради скорости, бизнес начинает платить за избыточную модель защиты — временем, пропускной способностью команд и замедлением ключевых процессов. Эта цена складывается из двух частей:
- Первая — прямые расходы на сам контур безопасности: лицензии, оборудование, внедрение и сопровождение.
- Вторая — операционные потери, которые возникают из-за лишних согласований, ручных действий, задержек и постоянного трения в повседневной работе. Именно эта часть часто оказывается менее заметной на старте и более болезненной на дистанции.
Особенно чувствительно это там, где скорость напрямую влияет на результат. Для ИТ- и продуктовых команд одной из ключевых метрик становится время вывода на рынок (Time-to-Market). Если запуск нового сервиса, интеграции или ИИ-инициативы затягивается на недели или месяцы из-за тяжелых процедур согласования, компания теряет часть рыночного преимущества.
Проблему видно и на уровне восприятия сотрудников. Лишь 21% офисных работников считают, что новые технологии действительно повышают их продуктивность. При этом 37% специалистов по безопасности признаются, что сами обходят правила, когда хотят ускорить работу.
В такой ситуации компании приходится считать не только риск инцидента, но и цену самой защиты. Для этого используются две базовые метрики: ожидаемые годовые потери (ALE) и окупаемость инвестиций в безопасность (ROSI). Первая показывает возможный ущерб от инцидента, вторая — оправданы ли вложения в конкретную меру защиты. Этот же риск-ориентированный подход сегодня закладывается в требования ЦБ РФ и новые редакции ГОСТов по защите информации: уровень защиты должен быть адекватен уровню значимости объекта.
Например, когда ожидаемый ущерб по конкретному сценарию составляет 100 тысяч рублей в год, а тяжелое решение для защиты этого процесса обходится в 500 тысяч, проблема не в недостатке контроля, а в том, что сама мера безопасности выбрана без учета реальной стоимости риска и влияния на бизнес.
Именно поэтому разумная защита начинается там, где компания соотносит три вещи: вероятность ущерба, цену контроля и цену административных барьеров. И если мера снижает риск и при этом не тормозит ключевые процессы, она работает в интересах бизнеса. Если же контроль оказывается слишком дорогим или слишком медленным, его архитектуру приходится пересматривать.
Риск-ориентированная модель безопасности
Все, о чем шла речь выше, подводит к одному выводу — одинаково жесткая защита по всей инфраструктуре плохо работает в сложной и быстро меняющейся среде. Она слишком дорогая, слишком медленная и слишком часто создает лишние проблемы в тех процессах, где бизнесу нужна скорость. На этом фоне появляется риск-ориентированная модель безопасности.
Ее суть довольно проста. Уровень защиты должен зависеть от того, насколько конкретный актив или процесс важен для бизнеса. Чем выше возможный ущерб, тем строже контроль. Чем ниже риск, тем меньше должно быть лишних барьеров, которые мешают работе без заметной пользы для безопасности.
Такая логика требует более точной оценки активов. Платежный шлюз, система с персональными данными клиентов и внутренний сервис для хозяйственных задач несут для компании разный уровень риска. Значит, и требования к доступу, мониторингу и проверкам для них не могут быть одинаковыми.
Отсюда меняется и сама точка приложения усилий. Вместо общего ужесточения периметра бизнес начинает сильнее защищать критические процессы и ключевые цепочки создания ценности. В менее чувствительных зонах, наоборот, появляется пространство для более быстрой работы, тестирования и подключения новых инструментов без избыточного числа согласований.
То есть там, где риск ниже, часть ограничений можно заменить автоматизированными политиками, событийным мониторингом и более точной настройкой допустимых сценариев. В итоге компания уходит от одинаковых запретов для всех и строит систему, в которой правила зависят от стоимости актива и возможного ущерба.
Меняется и формат диалога между бизнесом, ИТ и службой безопасности. Вместо постоянного спора о том, что можно и нельзя, появляется разговор о приемлемом уровне защиты и приемлемом уровне споров касаемо принятия решений. Но и это не все, ведь риск-ориентированная модель задает общий принцип, но дальше встает уже практический вопрос: за счет каких решений этот баланс можно удержать в реальной работе?
Одних регламентов здесь недостаточно
Долгое время корпоративная безопасность строилась вокруг виртуальных частных сетей (VPN): пользователь проходил аутентификацию на входе и дальше получал доступ к внутренней среде. В распределенной инфраструктуре такая модель чаще может способствовать созданию проблем — речь идет о лишних шагах для добросовестного сотрудника и одновременно высоком уровне опасности скомпрометированной учетной записи.
Поэтому все большее значение получает так называемый доступ с нулевым доверием, когда сотрудник получает доступ только к конкретному приложению или ресурсу, который нужен ему для работы.
Следующий уровень — контроль через контекст. Эту задачу решает поведенческая аналитика пользователей и сущностей. Такая система отслеживает нормальный профиль действий и реагирует уже на заметные отклонения. В результате обычная работа не должна постоянно упираться в запреты, а рискованные сценарии получают более точную и быструю реакцию.
Та же логика важна и для работы с ИИ-инструментами. Полный запрет публичных нейросетей на практике редко решает проблему, поэтому более реалистичный подход связан со снижением риска. Один из рабочих вариантов — маскирование чувствительных данных перед отправкой в языковую модель, когда персональные данные, коммерческая информация и внутренние идентификаторы автоматически подменяются без заметного изменения пользовательского сценария.
Но даже такая архитектура не дает гарантии сама по себе. Чем больше компания опирается на точечный доступ, контекст и доверенные сценарии, тем важнее регулярно проверять, как система ведет себя при компрометации учетной записи, злоупотреблении правами или попытке обойти контроль через сам бизнес-процесс. Именно здесь в логику разумной защиты входит имитация реального нападения на бизнес (Red Team) — один из самых надежных способов проверить валидность рабочей модели.
Выдержит ли эту нагрузку выбранная бизнес-логика?
Чем гибче становится архитектура безопасности, тем важнее регулярно проверять, как она ведет себя при реальной атаке. Когда компания уходит от тотальных запретов к точечному доступу, поведенческой аналитике и контекстному контролю, ей нужно понимать, где такая модель действительно устойчива, а где создает ложное чувство управляемости.
Поэтому роль Red Team заметно меняется. То есть раньше такие проверки чаще связывали с поиском технических уязвимостей — открытых портов, ошибок настройки или известных уязвимостей. Теперь для зрелой компании важнее понять, насколько адекватна сама логика критичных процессов, когда атакующий действует через доверенный канал.
Это означает проверку сценариев, в которых злоумышленнику не нужно «ломать» систему в классическом смысле. Ему может быть достаточно получить доступ к легитимной учетной записи, использовать валидную сессию подрядчика или встроиться в привычный маршрут движения данных.
Современные сценарии проверки чаще строятся вокруг компрометации бизнес-процесса. Например, проверяется, сможет ли атакующий с доступом к учетной записи финансового директора незаметно скачать архив документов. Или удастся ли использовать легитимную процедуру восстановления пароля для захвата управления учетной записью. Такие проверки показывают, как система реагирует на злоупотребление доверием внутри формально допустимого контура — буквального того контура, что выбрала компания.
Для бизнеса в этом и состоит главная ценность такой проверки. Она позволяет увидеть разрыв между тем, насколько защищенной компания считает себя по отчетам, и тем, как ее защита работает в реальных сценариях:
- Этот разрыв особенно опасен там, где архитектура уже стала более гибкой и точечной: чем меньше сплошных блокировок, тем выше цена ошибки в настройке прав, исключений и доверенных процессов.
- Поэтому результаты таких проверок важно переводить на язык последствий для бизнеса. Здесь имеет значение не только сам факт уязвимости, но и возможный ущерб — финансовый, операционный, регуляторный или репутационный.
- Отсюда же растет роль таких метрик, как время до повышения привилегий (MTT) и частота успешного обхода контроля (Control Bypass Frequency). Они лучше других показывают устойчивость системы, чем просто число внедренных ограничений.
В итоге данный способ становится частью той же всеобщего прагматизма, о которой шла речь выше. С одной стороны, у бизнеса остается соблазн усилить контроль до предела и тем самым снизить пространство для ошибок. Зачастую такая модель часто оборачивается перегрузкой сотрудников и уходом части процессов в теневые ИТ-практики.
С другой стороны, более гибкая архитектура лучше соответствует реальной работе, но требует постоянной проверки на устойчивость. Именно здесь вышеозначенный инструмент становится инструментом — он позволяет убедиться, что снижение конфликта юзабилити и безопасности не превратило защиту в скрытую уязвимость.
Выводы
Граница между паранойей и прагматизмом в информационной безопасности проходит там, где компания начинает считать не только риск инцидента, но и цену самого контроля. Пока защита строится по принципу «чем жестче, тем лучше», бизнес почти неизбежно сталкивается с побочными эффектами.
Более рабочая модель строится на том, что компания определяет, какие активы и процессы действительно критичны, выстраивает для них соразмерный уровень защиты, снижает лишние барьеры в менее чувствительных зонах и регулярно проверяет устойчивость этой системы через реалистичные сценарии атаки.
В такой логике безопасность перестает быть одинаково жесткой надстройкой над всей организацией и становится частью нормальной архитектуры управления.
По сути, разумная защита должна снижать риск без лишнего торможения работы. Там, где сотруднику проще соблюдать правила, чем обходить их, а сама система выдерживает проверку на практике, безопасность начинает работать в интересах компании, а не против ее скорости.