Михаил Кадер: «Zero Trust – не панацея»

Михаил Кадер, один из наиболее авторитетных российских экспертов в сфере построения сетевых архитектур и систем киберзащиты, – о неэффективности подхода Zero Trust, утопичности идеи всеобщей кибергигиены, рисках искусственного интеллекта и перспективах технологического суверенитета.

В июле 2025 года компания UserGate объявила об одном из самых резонансных кадровых назначений: к ее команде в роли архитектора клиентского опыта будущего присоединился Михаил Кадер, один из наиболее авторитетных российских экспертов в сфере построения сетевых архитектур и систем киберзащиты.

Михаил 25 лет проработал в Cisco и стал одним из первых в России и СНГ обладателей звания заслуженного системного инженера компании, автоматизировал финансовую деятельность Министерства нефти и газа (сегодня – ПАО «Газпром»), работал в компаниях «Юнитек», «СтинсКоман» и Positive Technologies. По словам руководства UserGate, его приход в компанию – это не просто наем топ-специалиста, а стратегический шаг, определяющий ее будущее развитие.

В эксклюзивном интервью SecurityLab Михаил Кадер рассказал, какую философию защиты продвигает вместо модного подхода Zero Trust, почему проблемы информационной безопасности нельзя перекладывать на рядовых сотрудников и на каких ключевых принципах строится продуктовая стратегия UserGate, которая была недавно разработана при его активном участии.

– Михаил, вы пришли в UserGate как архитектор клиентского опыта будущего. От ваших усилий зависит информационная безопасность на годы вперед. Каким вы видите это будущее?

– Прежде всего, я хотел бы видеть его непротиворечивым. Сегодня мы наблюдаем парадокс: множество предложений и разработок в области информационной безопасности на деле ухудшают тот самый клиентский опыт. Они усложняют работу, снижают эффективность людей, могут тормозить те или иные бизнес-процессы. В результате получается, что инструмент защиты начинает конфликтовать с целью бизнеса.

Под непротиворечивостью я подразумеваю такую информационную безопасность, которая существует, но при этом не мешает людям нормально жить и трудиться, а в идеале создает для них более комфортную среду – и рабочую, и личную. В конечном счете все ожидания клиентов сводятся к одной простой и, если хотите, циничной формуле: «Сделайте так, чтобы все работало, и чтобы нам приходилось об этом как можно меньше думать».

Прийти к информационной безопасности именно в таком виде – это своего рода светлая цель. Сложно сказать, сколько времени потребуется для ее достижения и достигнем ли мы ее вообще, но как вектор развития она мне видится исключительно верной.

– Звучит замечательно. Но сейчас как основной и типовой сценарий рассматривается подход Zero Trust. Насколько известно, вы относитесь к нему скептически. Можете рассказать, почему?

– Любую технологию можно использовать по-разному. Не случайно информационные технологии, включая средства ИБ, относят к товарам и технологиям двойного назначения. Это как топор у Раскольникова: им можно дрова рубить, а можно совершить преступление. Виноват ли будет во втором случае топор? Нет.

Так и с технологиями Zero Trust. С рациональной точки зрения в них есть здравое зерно, но психологически они мне не очень близки. Сама концепция основана на тезисе: «Мы вам не доверяем, будем не доверять и непрерывно проверять вас». На уровне бытового восприятия это создает негативный фон.

Наша же цель – создать условия, в которых люди могут спокойно работать и заниматься личными делами, не опасаясь киберугроз, а не напоминать им о них постоянно. Поэтому мне видится перспективным переход от парадигмы нулевого доверия к модели построения доверительных и профессиональных отношений. Возможно, когда-нибудь мы назовем это другой архитектурой. При этом, как я уже упоминал, это вопрос не столько смены технологий, сколько их правильного применения.

– Но разве в условиях острой нехватки кадров и конкуренции за экспертизу на рынке ИБ подход Zero Trust не является более безопасным и рациональным?

– Если обратиться к статистике, мы увидим, что большинство успешных атак происходит через человека – с помощью социальной инженерии, фишинга и прочих подобных методов. Мы изобретаем все новые технологии: на смену базовой аутентификации и межсетевым экранам пришли многофакторная аутентификация, межсетевые экраны следующего поколения, системы защиты от утечек и огромное количество других технических средств. Но количество инцидентов не снижается. Это говорит о том, что Zero Trust – не панацея.

Более того, сегодня сложно найти вендора в области ИБ, который не заявлял бы, что у него есть решение для Zero Trust. Но если объективно посмотреть на весь спектр технологий, которые подразумеваются в рамках этой архитектуры, окажется, что почти никто не закрывает его полностью. Zero Trust превратился в маркетинговый зонтик, под которым продвигают уже существующие продукты: один вендор заявляет, что его NGFW – это Zero Trust, другой то же самое говорит про MFA, третий – про антивирусное программное обеспечение. То есть существует какой-то набор технологий, но нет полноценного процесса управления хотя бы сетевым доверием. И вот это большая проблема. В такой ситуации я сомневаюсь в эффективности подхода Zero Trust. Гораздо больших результатов можно добиться, меняя саму концепцию применения технологий.

– Вы упомянули, что главная брешь в ИБ – это человеческий фактор. Большинство громких инцидентов происходит из-за отсутствия цифровой гигиены или несоблюдения элементарных правил. Как вы думаете, получится ли в будущем привить эту гигиену, как, допустим, привычку чистить зубы сто лет назад или использование антисептиков по следам недавней пандемии?

– Уверен, что нет. Вы привели пример с пандемией – и он очень показателен. Ведь после этого в некоторых странах появился такой челлендж: люди лизали перила на лестницах, чтобы проверить, заразятся они ковидом или нет. Такое поведение – в природе человека.

У меня много друзей – профессионалов в области ИБ. Так вот, почти у каждого первого кто-нибудь из родственников, в том числе ближайших, становился жертвой мошенников. Даже в крупных корпорациях сотрудники, проходя многочисленные тренинги по внутренней безопасности, зачастую заинтересованы не в том, чтобы реально повысить свой уровень осведомленности, а в том, чтобы правильно нажать на кнопки, и чтобы от них отстали. Мы никогда не добьемся необходимого уровня той самой кибергигиены хотя бы по той простой причине, что все люди глубоко разные и все преследуют очень разные цели.

Рассмотрим конкретный практический пример. Есть некая компания, которая опасается фишинговых рассылок. Она проводит тренинги для сотрудников каждые два-три месяца, в том числе обучая вновь прибывших, вешает образовательные плакаты в офисе – то есть делает все, что считается «лучшими практиками». И что же? Каждый раз, когда проводятся тестовые фишинговые рассылки, кто-то из сотрудников неизменно на них попадается.

А теперь добавим сюда новый фактор: современные фишинговые рассылки все чаще создаются с помощью искусственного интеллекта, что делает их персонализированными и невероятно убедительными. Злоумышленники активно используют технологии, а на другом конце всегда остается человек, который в силу самых разных причин – усталости, невнимательности, стресса – может совершить ошибку и поддаться на такую атаку.

Но давайте посмотрим на проблему иначе. Компания платит людям деньги не за то, чтобы они становились сами себе аналитиками информационной безопасности, а за выполнение их прямых должностных обязанностей. Следовательно, логичнее и эффективнее будет не бесконечно муштровать сотрудников, а сделать так, чтобы опасность просто до них не доходила. Конечно, задача доработать почтовые шлюзы и функции защиты на них до такого уровня, чтобы вероятность прохождения фишинговой рассылки была минимальна – это вызов для всей индустрии. Но даже с точки зрения экономического эффекта такой подход может оказаться гораздо более адекватным.

Коротко говоря, нельзя перекладывать недоработки продуктов и технологий в области информационной безопасности на рядовых пользователей. У них иные задачи, и поэтому они всегда будут попадаться на уловки мошенников.

– Вы считаете, что даже со сменой поколений ситуация не улучшится? Молодежь как будто более подкована в вопросах ИБ.

– Это заблуждение. Новые поколения действительно с раннего детства растут в цифровой среде, но это рождает другую проблему – излишнее доверие к технологиям и информации в интернете. Если старшее поколение с подозрением относится к цифровым технологиям, то молодые люди, наоборот, гораздо более доверчивы ко всему, что с ними связано – например, легко переходят по ссылкам от «друзей» из игровых чатов, соцсетей и других виртуальных площадок.

Пенсионеров часто обманывают по телефону, и здесь – выскажу непопулярную мысль – ограничения на звонки через WhatsApp и Telegram, которые очень сложно контролировать, а также усиление защиты обычной телефонии сильно снижают возможности мошенников по работе с этой возрастной аудиторией. Да, мне, как и многим, очень неудобно, что я не могу теперь общаться со своими друзьями за границей с помощью звонков через привычные мессенджеры, но с точки зрения защиты уязвимых групп эта мера работает.

В целом же проблема не в возрасте, а, опять-таки, в подходе: мы не можем «воспитать» идеальных пользователей, но можем создать для них безопасную среду.

– Искусственный интеллект изменил многие процессы и влияет на информационную безопасность. Люди обращаются к нейросетям с запросами и подгружают в них документы, которые, очевидно, так или иначе используются разработчиками ИИ-инструментов. Это явно создает дополнительные уязвимости. Какие именно, и нет ли рисков, что информация поступит не только владельцам ИИ, но и будет перехвачена третьей стороной?

– Эта тема – настоящий айсберг, а видимая часть проблем – лишь изморозь на его вершине. Если начать разбираться глубоко, не хватит и нескольких конференций.

Поэтому обозначу базовые проблемы. Во-первых, это утечка конфиденциальной информации. Компании сплошь и рядом загружают в публичные ИИ-модели свои внутренние документы, стратегии, коды. Эта информация становится достоянием разработчиков моделей и может быть скомпрометирована.

Во-вторых, целенаправленный саботаж. SecurityLab публиковал исследование о том, как модель DeepSeek генерировала разный код в зависимости от контекста запроса: для высокорисковых клиентов, например, из Америки, – качественный код, для тех, кто высказывался против Коммунистической партии Китая, – код с уязвимостями. Когда я вижу, как активно развиваются технологии вайб-кодинга, я понимаю, что потенциально это следующая огромная атака на всю IT-индустрию. Ведь генерируется гигантский объем слабо подконтрольного, потенциально небезопасного кода, который ляжет в основу будущих программ.

Я назвал лишь два базовых сценария. Уже сегодня на конференциях о безопасности искусственного интеллекта обсуждаются риски манипулирования сознанием людей с его помощью.

Если же посмотреть на ИИ более узко с точки зрения кибербезопасности, он отличный помощник для операторов SOC или службы поддержки. Но в задачах прямого обнаружения конкретных угроз в огромном количестве областей искусственный интеллект демонстрирует очень небольшой прирост эффективности.

Из всего этого можно сделать вывод: к внедрению ИИ нужно подходить предельно осмысленно, четко понимая, какую конкретную задачу мы хотим решить с его помощью, и точно взвешивая потенциальный прирост эффективности и все сопутствующие риски.

– Как, по-вашему, можно преодолеть разрыв и несогласованность между интересами и приоритетами IT и ИБ во многих компаниях? Получится ли когда-нибудь достичь синергии?

– Если и IT, и отдел безопасности работают на достижение общих бизнес-целей компании, почва для конфликтов исчезает. Если же у кого-то появляются собственные задачи, не увязанные с целями организации, начинается перетягивание ресурсов и взаимные обвинения. Поэтому необходимо выстраивать сквозное целеполагание с декомпозицией целей на конкретные подразделения.

Также крайне важно, чтобы метрики работы подразделений были привязаны к бизнес-целям компании. К примеру, отдел ИБ может отчитаться, что расследовал миллион инцидентов за год. Но что эта цифра скажет генеральному директору? Ничего. Другое дело, если в отчете говорится, что в течение года не произошло ни одного инцидента, который привел бы к нарушению бизнес-процессов предприятия. То есть метрики должны быть сформулированы не на языке технологий, а на языке бизнес-результатов.

– Как вы считаете, удастся ли достичь полного технологического суверенитета или все же от глобализации никуда не деться?

– Полный технологический суверенитет – это миф, хотя многие страны и пытаются его достичь. Когда начался процесс глобализации, компании стали работать на глобальный мир и оптимизировать свои цепочки поставок. Это привело к очень сильной специализации, когда страны сконцентрировались на том, что получается у них лучше всего, и создали взаимозависимую экосистему. И в ее рамках технологический суверенитет стал практически невозможным.

Посмотрите, сколько средств вкладывают американцы в то, чтобы восстановить у себя производство процессоров, но компании из США и всего остального мира по-прежнему пользуются продукцией тайваньской TSMC. Или возьмите open source – фундамент мировой IT-индустрии, включая российскую. Крупнейшие технологические корпорации и миллионы энтузиастов со всего мира, в том числе огромнейшее количество признанных экспертов из России, вносят вклад в эту общую копилку. Повторить все это с нуля в отдельно взятой стране – невероятно дорого и практически нереально.

Поэтому я считаю разумным подход ФСТЭК, который фокусируется не на абстрактном «суверенитете», а на защите конкретных систем от конкретных угроз. Так, он просит описать поверхность атаки, а затем продемонстрировать меры, которые необходимы для невозможности реализации угроз на описанной поверхности атаки. Это намного более практично и достижимо.

– Вы работаете в UserGate уже несколько месяцев. Можете поделиться первыми впечатлениями? Оправдались ли ваши ожидания? Появились ли новые идеи, планы, перспективы?

– Пожалуй, более корректный вопрос: оправдал ли я ожидания UserGate? Со своей стороны, я вижу главное: компания вовремя начала опережающую трансформацию. Когда российский IT-ландшафт резко изменился, многие игроки начали неуправляемо расти, думая, что старые подходы сработают и в новых условиях. А дальше при росте этих компаний и существенном повышении требований к продуктам, которые они выпускают, выяснилось, что это неправда. UserGate же выбрала путь стратегических изменений заранее, и этот подход полностью совпадает с моим видением.

Что касается целей, мы фокусируемся на том, чтобы стать признанным лидером на российском рынке сетевой безопасности. Де-факто это уже так, но нам важно закрыть и ментальный разрыв в восприятии наших заказчиков. Мы активно работаем над этим через повышение качества, производительности и широты нашей продуктовой линейки.

Также недавно мы разработали продуктовую стратегию компании UserGate. Для нас это очень важная история, потому что мы хотим развивать компанию не ситуативно, а по единому плану. Хотя это внутренняя информация, думаю, что могу раскрыть несколько ключевых принципов, которые заложены в основу нашей стратегии.

Во-первых, мы смотрим не только на российский рынок, который, безусловно, важно, однако конечен, но и на мировой. Мы уверены, что наши лучшие подходы и технологии имеют экспортный потенциал, и стратегия это учитывает.

Во-вторых, мы делаем ставку на синергию всего продуктового портфеля. Речь идет о том, чтобы наши продукты были не просто эффективны и ценны сами по себе, а формировали единую экосистему и совместно генерировали для клиента больше ценности, чем каждый из них по отдельности.

И, наконец, третий ключевой принцип нашей стратегии – это сервисно-ориентированная безопасность. Мы отдаем себе отчет в том, что информационная безопасность сама по себе не имеет смысла – она выполняет обеспечивающую функцию. Ее цель – в поддержке тех бизнес-сервисов, которые реализует предприятие для решения своих задач или, что тоже крайне важно в нашей стране, для выполнения возложенных на нее государством функций.

Чтобы этот курс понимала и разделяла вся компания, а не только топ-менеджмент, мы и разработали нашу продуктовую стратегию.

– Что бы вы хотели сказать нашим читателям напоследок?

– Мне хотелось бы немного «приземлить» восприятие информационной безопасности. Специалисты в области ИБ иногда склонны считать свою миссию едва ли не самой значимой в компании. Однако важно понимать, что информационная безопасность – это глубоко обеспечивающая функция для решения различных задач: личных, бизнеса или государства. Она ни в коей мере не самоцель, а инструмент, который позволяет организациям работать, а людям – спокойно жить в цифровую эпоху.

По сути, наша задача – сделать так, чтобы о безопасности можно было бы забыть, потому что она просто работает. Именно к этой ключевой и единственно верной цели мы и движемся в UserGate.