Поделиться
Максим Хомутинников, ADP: Безопасность начинается не с пароля, а с архитектуры
Цифровая безопасность перестала быть делом узкой группы профессионалов. Утечки данных, взломы аккаунтов и фишинговые атаки мошенников сегодня касаются каждого — от пользователя банковским приложением до владельца бизнеса.. Не смотря на серьезность рисков, многие воспринимают цифровую безопасность как деталь, которой можно пренебречь. Между тем она уже стала вопросом повседневной гигиены, культуры разработки и дальновидного мышления. Ошибки — как в поведении пользователей, так и в решениях разработчиков — обходятся все дороже. Почему защита — это не функция, а культура? И как создать технологию, которая не просто выполняет задачи, а учитывает интересы и безопасность пользователя на каждом этапе? Эти и другие вопросы CNews задал инженеру-программисту и преподавателю Максиму Хомутинникову. Он отвечает за безопасность приложений в международной компании ADP, которая предоставляет цифровые технологии расчета заработной платы и управления персоналом для организаций любого размера, которые позволяют им оптимизировать операции и повышать эффективность работы.
CNews: Максим, сегодня кибербезопасность обсуждают далеко за пределами ИТ-среды — в бизнесе, медиа и в повседневной жизни. Почему, на ваш взгляд, она стала темой для всех?
Максим Хомутинников: Потому что сегодня цифровая среда — это повседневность: от регистрации в приложении до загрузки документов в облачное хранилище. Каждый пользователь, независимо от уровня технической подготовки, взаимодействует с системой, оставляет цифровой след и, фактически, формирует потенциальную поверхность атаки.
Со стороны архитекторов и инженеров это означает необходимость учитывать такие риски на уровне проектирования. Например, ошибка в логике обработки входных данных, некорректная реализация авторизации или незащищенные API становятся уязвимостями, которые могут быть масштабно эксплуатированы. Поэтому безопасность — это не установка антивируса, а работающая система контроля доступа, шифрования, мониторинга, разграничения прав, журналирования и анализа инцидентов в режиме реального времени. Это архитектурный принцип, а не вспомогательная функция.
CNews: По вашей оценке, насколько сами разработчики осознают, что от их решений зависит безопасность не только бизнеса, но и каждого пользователя?
Максим Хомутинников: Осознание приходит не всегда и не сразу. В типичном сценарии защита воспринимается как постфактум-этап: сначала создаем продукт, а уже потом внедрим необходимые аспекты по безопасности. Это системная ошибка. Такой подход ведет к «техдолгу» и дополнительным затратам на процессы корректировки.
В своей практике я внедряю принципы безопасной разработки (secure software development lifecycle), где защита начинается с проектирования — через моделирование угроз, анализ уязвимостей, контроль прав на уровне инфраструктуры, применение принципа наименьших привилегий и интеграцию автоматических проверок в CI/CD-пайплайны.
На одном из проектов в ADP мы реализовали интеграцию между платформами безопасности для обмена threat intelligence в режиме реального времени — это позволило минимизировать время реакции на инциденты и обеспечило автоматическую блокировку вредоносного трафика. Такой опыт подтверждает: чем раньше учитываешь угрозы — тем стабильнее, дешевле и безопаснее итоговая система.
CNews: Ваши курсы в университете уже помогли многим студентам успешно пройти стажировки и начать работу в реальных проектах. Как вам удается выстраивать у них понимание цифровой безопасности не как к теории, а как к необходимой части профессии?
Максим Хомутинников: Я стремлюсь выстраивать обучение вокруг практического применения. На курсах мы моделируем реальные задачи: от проектирования отказоустойчивых архитектур до анализа безопасности при работе с распределенными базами данных, в которых данные хранятся не на одном сервере, а на нескольких узлах, и NoSQL-хранилищами, то есть нетабличными системами для гибкой работы с большими объемами данных. Мы рассматриваем не только особенности хранения и обработки данных в MongoDB, HBase, Hive, но и потенциальные уязвимости в каждом из подходов — например, отсутствие встроенной поддержки транзакционности или риски при использовании репликации без шифрования.
Особое внимание уделяется защите в облачной среде: анализируем, как проектировать IAM-роли, как устроена защита в Hadoop, как реализовать безопасное масштабирование и конфигурацию. Студенты проходят через установку и настройку Систем Управления Базами Данных, работу с концептуальными моделями, проектирование ER-схем, а также учатся применять язык SQL для создания хранимых процедур и user-defined функций с учетом безопасности. Такой формат позволяет им осваивать ключевые компоненты безопасной архитектуры до того, как они столкнутся с ней в продакшене.
CNews: А что стало отправной точкой вашего интереса к теме цифровой безопасности? Это был осознанный выбор или вы пришли к этому через практику?
Максим Хомутинников: Через практику. Получив инженерное образование в области электроники и наноэлектроники, я начал с системной разработки и постепенно столкнулся с вопросами информационной безопасности в реальных проектах. Особенно многое стало ясно, когда я начал разрабатывать автоматизацию процессов в ADP.
Мы внедряли сквозную интеграцию между платформами безопасности: данные threat intelligence использовались для анализа событий в реальном времени, выявления индикаторов компрометации и передачи их в систему автоматической блокировки. Параллельно я разрабатывал пайплайны автоматизации оценки рисков на уровне всей компании — с маршрутизацией предупреждений к владельцам продуктов и последующим контролем за устранением.
Этот опыт убедил меня в том, что безопасность нельзя воспринимать как надстройку. Ее нужно проектировать сразу — на уровне архитектурных решений, DevOps-процессов и стратегии данных.
CNews: Сейчас вы развиваете собственный стартап — YouPet. Проект сочетает технологии, заботу о животных, формирование сообщества, но у него есть и другая сторона — работа с персональными данными: профили пользователей, истории питомцев и так далее. Как вы подходите к безопасности всей этой информации?
Максим Хомутинников: Безопасность была и остается одним из главных критериев для моей команды. С самого начала мы закладываем в систему все необходимые меры безопасности: шифруем данные при передаче и хранении, обеспечиваем строгий контроль доступа, проводим регулярный аудит журналов доступа и соблюдаем принципы минимизации данных для снижения риска утечки данных.
В дополнении мы встраиваем функцию для использования многофакторной аутентификации (при желании), и придерживаемся разграничения прав доступа основываясь на методологии Least Privilege. Этот принцип гласит что пользователи и процессы должны иметь лишь минимальные права доступа, необходимые для выполнения своих задач, что минимизирует потенциальный ущерб от нарушений безопасности. Эта концепция безопасности критически важна для ограничения влияния скомпрометированных учетных записей и предотвращения распространения вредоносного ПО.
CNews: Проект — это по сути база знаний и сервисов для владельцев животных и тех, кто с ними работает. Как родилась идея платформы?
Максим Хомутинников: Все началось с личного опыта: я искал сервис, где можно было бы не только записаться к ветеринару, но и иметь возможность связаться с другими владельцами питомцев, получить рекомендации при необходимости, быстро и просто найти интересующую услугу вроде груминга или профессиональной передержки или внести пожертвования в приют для животных. Я не нашел платформу, которая объединила бы в себе все. Поэтому решил создать не просто сервис по записи к ветеринару, а целую экосистему, где можно найти услуги, общение и даже партнера — например, один из наших новых сервисов помогает людям, у которых есть питомцы, познакомиться. У них уже ведь есть общее увлечение, которое может помочь им завести приятные знакомства по интересам.
CNews: Что, на ваш взгляд, позволило платформе получить признание как «Продукт года» на международной деловой выставке предпринимателей и инвесторов American Business Expo? В чем ее главная сила — в технической части или в общественной пользе?
Максим Хомутинников: В том, что мы объединили оба аспекта. С точки зрения технической реализации — это будет масштабируемая платформа, построенная на микро-сервисной архитектуре, с поддержкой безопасного взаимодействия пользователей, экспертов и сервисов. Все бизнес-процессы будут реализованы с учетом требований к защите данных: от шифрования и аутентификации до механизмов ограничения доступа и согласий на обработку информации.
С точки зрения пользовательской ценности — платформа будет обеспечивать не только доступ к зоосервисам, но и поддерживать программы терапии с участием животных, включая взаимодействие с детьми с особыми потребностями и пользователями с тревожными расстройствами. Для этого мы интегрировали соответствующие сервисы через API партнерских организаций. Это усилило социальную значимость продукта и позволило показать пример того, как технологии могут решать реальные задачи — с сохранением высокого уровня защищенности.
CNews: Вы сами также оцениваете цифровые продукты в качестве члена жюри профессиональных конкурсов, таких как Global Innovator — 2025 при поддержке Skolkovo Tech & Innovation Awards. Какие критерии для вас важны помимо безопасности?
Максим Хомутинников: В первую очередь я смотрю на то, как устроен сам продукт: надежно ли он работает, можно ли его развивать, не создает ли он рисков для пользователей. Во-вторых, я обращаю внимание на пользу. Есть ли у продукта реальный эффект? Помогает ли он людям, решает ли важную задачу? Особенно ценю, когда в разработке учтены важнейшие принципы: доступность для разных групп пользователей, уважение к конфиденциальности данных и инклюзивность — например, возможность работы с адаптивными технологиями для людей с особыми потребностями. Это те вещи, которые напрямую влияют на то, будет ли технология действительно полезной, а не просто «умной». В жюри я обычно стараюсь оценивать проект не только как инженер, но и как пользователь.
CNews: Какие вызовы в области цифровой безопасности, по вашему мнению, ждут в ближайшие годы пользователей и разработчиков, которые создают для них сервисы?
Максим Хомутинников: Думаю, все больше угроз будет связано с использованием искусственного интеллекта. Его инструменты, такие как дипфейки и генеративные модели, позволяют злоумышленникам создавать реалистичные письма, голоса и видео, что затрудняет обнаружение мошенничества. Злоумышленники могут использовать ИИ для автоматизации стратегий атак, создания вредоносного ПО и использования уязвимостей быстрее, чем могут адаптироваться традиционные средства защиты. В результате, будет ужесточаться законодательство. Особенно в вопросах, которые касаются персональных данных — как их собирают, хранят и кто к ним имеет доступ. Компании должны будут все чаще доказывать, что хранящиеся у них данные надежно защищены, а политика конфиденциальности прозрачна и понятна пользователям.
CNews: Как вы сами готовитесь к этим вызовам? Что можете посоветовать тем, кто начинает работать в этой сфере?
Максим Хомутинников: Я сам продолжаю учиться: сейчас готовлюсь к международной сертификации CSSLP от ISC2, обновляю учебные курсы в университете, адаптирую их под требования отрасли и включаю в них разделы по применению моделей ИИ в безопасности.
Что касается совета коллегам, по моему мнению, в наши дни настоящим преимуществом будет умение освоения ИИ для кибербезопасности, необходимо изучать разработку моделей ИИ на Python и уметь интегрировать алгоритмы ML в систему управления информацией и событиями безопасности, автоматизацию контрольных процедур систем и организаций и обеспечивать защищенные конвейеры (pipelines) программного обеспечения. Кибербезопасность будущего — это комбинация ИИ и поведенческой аналитики с быстрым реагированием на угрозы в режиме реального времени.
Короткая ссылка
