«Облака — фундамент ИТ-инфраструктуры для стартапов и компаний нового формата. Это мировая тенденция повторяется и в России», — директор центра кибербезопасности Cloud.ru

Сначала SberCloud, потом Cloud.ru, последние три года компания— один из лидеров российского рынка облачных сервисов. Как вы прошли путь от стартапа до крупной компании? И повлиял ли этот ребрендинг и смена владельца на вашу стратегию развития?

— На стратегию развития ребрендинг не повлиял. Рост компании был практически предрешен по нескольким причинам. Первая — мировая тенденция, которая повторяется и в России, — облака становятся фундаментом ИT-инфраструктуры, где размещаются стартапы и компании нового формата.

Вторая причина, которая позволила сделать такой рывок, — экспертиза команды. Эти специалисты до этого работали в крупных зарубежных и российских компаниях. Они — профессионалы. И понимают, куда движется мировой облачный рынок.

Cloud.ru недавно получили сертификат соответствия процессам РБПО. Для чего этот сертификат нужен компании? Какие задачи решает и в чем заключается комплексный подход компании к безопасной разработке?

— Мы действительно получили сертификат на соответствие ГОСТу Р 56939-2024 и входим в первую десятку компаний, которые прошли этот процесс.

ИСП РАН (Институт системного программирования им. В. П. Иванникова Российской академии наук) на тот момент была единственной организацией с правом сертифицировать IT‑компании. Сертификация подтверждает наличие и фактическое выполнение всех процессов РБПО: управление уязвимостями, контроль цепочки поставок, анализ исходного кода, тестирование безопасности и управление изменениями. Требования охватывают весь жизненный цикл — от проектирования архитектуры до внедрения и сопровождения. Поэтому я считаю, что в настоящее время это одна из самых комплексных методик аудита и подтверждения соответствия, которые есть в России.

Подготовка к сертификации заняла примерно год, и еще полгода — на прохождение. Это был довольно сложный процесс. Компании, решившей пройти наш путь, особенно крупной, нужно закладывать пару лет на то, чтобы привести всю документацию в соответствие, вложить достаточно много денег, выстроить у себя зрелые процессы разработки и только потом уже приглашать независимого аудитора.

Зачем это нужно? Для двух вещей. Областью применения сертификата РБПО является Cloud.ru Evolution Stack — модульная платформа для создания частного, гибридного или распределенного облака. В сентябре 2025 года Evolution Stack получил сертификат ФСТЭК России №4979, который подтверждает соответствие требованиям к средствам технической защиты информации (4 уровень доверия) и к средствам виртуализации и контейнеризации (4 класс защиты). Новый сертификат РБПО дополняет сертификат №4979: теперь обновления платформы не требуют повторной внешней сертификации каждой версии. Это ключевое и обязательное требование для использования государственными информационными системами и компаниями, которые являются субъектами КИИ.

Сертификация наших процессов говорит, что мы достаточно зрелая компания, которая делает безопасный продукт каждый день. И мы можем выпускать эти релизы более оперативно, чем если бы шли по стандартному пути сертификации. А это значит, что мы работаем не сами по себе, а для клиентов. 

Как вы обеспечиваете безопасность собственной инфраструктуры и защиту инфраструктуры клиентов?

— Все начинается с людей. Вот, к примеру, очень показательная история. У нас на hh.ru есть позиция «начальник управления» — требуется руководитель одного из управлений по безопасности. Больше года я провожу по 2–3 собеседования в неделю, пытаясь найти на эту позицию зрелого менеджера с хорошим техническим бэкграундом, который понимает, куда движется вся ИТ- и ИБ-индустрия, мог бы стать лидером большой команды; будет привносить свою экспертизу, свое видение развития и помогать ребятам развиваться. Не могу найти! 

Это говорит о том, что мы, как и другие бигтехи, опираемся прежде всего на экспертизу и видение своих специалистов.

Вторая часть — это развитая методология, по которой мы движемся к ИБ-зрелости. Эту методологию мы изначально взяли у ПАО «Сбербанк», который был нашей материнской компанией. Там есть вполне понятные шаги, как компании взрослеть. 

Облако дает бизнесу возможность работать в защищенных средах без необходимости закупать и встраивать в инфраструктуру ИБ-решения. Наша задача — обеспечить безопасность данных клиента для каждого используемого им сервиса: будь то виртуальная машина, управляемая база данных или сервисы работы с AI. Мы как провайдер самостоятельно поддерживаем безопасность на физическом и сетевом уровнях и активно внедряем разные средства защиты, в том числе для новых векторов атак только вроде атак на LLM.

При этом, мы, как и другие лидеры в облачном сегменте, продолжаем работать над формированием культуры «разделенной ответственности». Речь о том, что часть задач по поддержанию безопасности выполняется специализированной командой провайдера в его зоне ответственности, а часть остается на стороне клиента. Для закрытия клиентского периметра мы предлагаем партнерские решения — межсетевые экраны, WAF, защиту от DDoS.

Мы не идем в направления, которые изначально не были нашими сильными сторонами, а доверяем компаниям,  давно занимающимся производством средств защиты информации. Чтобы дойти до хорошего уровня, потребуется длительное время и команда в несколько сотен человек по каждому направлению. Вместо этого привлекаем партнеров, и они закрывают самый критичный текущий уровень угроз. 

Используете ли вы для защиты клиентов собственные разработки?

— Из собственных разработок — на нашей ежегодной конференции про облака и ИИ GoCloud 2026 мы представили решение для защиты кластеров Kubernetes Container Security, которое разворачивается из облака и не требует самостоятельной поддержки со стороны клиента. Оно закрывает один из актуальных на сегодня векторов угроз. Инструмент позволяет сканировать образы контейнеров на уязвимости, а также использовать встроенного ИИ-агента для генерации политик безопасности. Container Security предназначен прежде всего для крупных заказчиков из банковского и госсектора и технологических компаний, которые активно используют контейнеры для запуска своих сервисов. 

Также на конференции мы рассказали о запуске решения Guardrails Filter для безопасной работы с LLM-моделями из нашего сервиса Foundation Models. Это первый инструмент для защиты от утечек при запросах к популярным open-source моделям у российских облачных провайдеров. Чувствительные данные в промпте (секреты, API-ключи, персональные данные) автоматически маскируются, и запрос уходит в LLM в обезличенном виде. Guardrails Filter будет также доступен бизнесу для внедрения в режиме on-premise, чтобы обработка данных происходила на его стороне.

Как вы определяете, какие решения востребованы клиентами Cloud.ru, как это влияет на выбор ИБ-вендоров для сотрудничества?

— Сначала собираем у клиентов обратную связь, выявляем, чего не хватает. Также смотрим на наших конкурентов в России и на то, как совершенствуются облака за рубежом: какой набор продуктов используют и что больше всего востребовано — развиваемся мы все примерно по одинаковым сценариям.

У крупных потребителей из B2B-сегмента достаточно большие команды, которые сравнивают облака между собой, и приносят нам свои требования. Это то, что приоритетно закладывается в бэклог.

Вы уже упоминали про требования ФСТЭК. Как реализованы эти конкретные требования в Cloud.ru для работы с ГИС и на объектах КИИ? 

— Начну немного издалека. Я недавно был на конференции, и один из опытных провайдеров поставил себе в достижение то, что он прошел процедуру с соответствующим требованием PCI DSS-стандарта. А для нас это давно рутина. Это было достижением года три или четыре назад.

Мы научились проходить аттестации и сертификации практически на любые требования, и у нас почти всегда имеется готовый набор подтверждающих артефактов, которые позволят внешнему аудитору сказать, что мы безопасны. Доказательства для аудита мы не готовим каждый раз вручную, а берем из наших автоматизированных систем. 

Что это значит в контексте тех требований, которые предъявляет ФСТЭК к государственным информационным системам? Это означает, что мы умеем строить безопасную инфраструктуру для ГИСов, исходя из общего подхода к безопасности. Также у нас есть сертифицированный продукт Evolution Stack, который получил сертификат в сентябре прошлого года.

На базе Evolution Stack строятся облака, на которых можно размещать любые ГИС-системы и значимые объекты КИИ. Делается это достаточно оперативно, как и подготовка необходимых клиентам документов.

Также Cloud.ru предоставляет типовое техническое решение на базе Evolution Stack, которое можно переиспользовать и построить свою систему защиты информации, дополнив наложенными средствами защиты, с нашими рекомендациями и выстроенными процессами клиента внутри. Это обеспечивает быстрый вход, понятные зоны ответственности и механизмы обеспечения безопасности. Важно понимать, что это не проект, который длится 2–3 года. Это уже многократно отработанные вещи.

Какие меры предпринимаются для защиты канала связи, особенно с госорганом, объектом КИИ и облачной платформой Cloud.ru?

— Здесь мы ничего нового не придумываем. Есть требования регуляторов по взаимодействию между собой в зависимости от модели угрозы, типа нарушителя. Мы применяем стандартные средства криптографической защиты, проверенные временем. 

Какие меры предпринимаются для защиты канала связи, особенно с госорганом, объектом КИИ и облачной платформой Cloud.ru?

— Основной конкурент на рынке — это on-prem-инфраструктура — инфраструктура самого заказчика, которую он растит, использует и не планирует уменьшать, перевозить в облако или применять гибрид. Потому что в России процент проникновения облаков все еще остается низким по сравнению с зарубежными странами.

Наша задача помочь таким большим инфраструктурам в построении гибрида или переезда части систем к нам в облако. Сами по себе облака в России — это высококонкурентный красный океан, в котором много игроков, все научились в нем работать. 

Важно показать клиентам, у которых есть собственная инфраструктура, что можно «переехать». Это облегчит работу командам ИБ и ИТ у клиента, позволит повысить отказоустойчивость инфраструктуры, упростит ее эксплуатацию и снизит расходы.

Несмотря на то что вы уже сотрудничаете с компаниями федерального уровня, таких как METRO, СК-10, Haval, «Техноком» и многими другими, чего все еще боится российский клиент из традиционного сектора, например, из банковского и производственного направлений?

— С начала года прошло уже много встреч и профильных конференций с представителями безопасности компаний из разных отраслей. К облакам почти все готовы. Но многих останавливает страх, что к ним придут контролирующие органы, а компания не будет соответствовать всем необходимым требованиям.

Например, возможность обработки банковской тайны в облаке пока нормативно не урегулирована. Хотя ЦБ и Госдума уже близки к тому, чтобы издать федеральный закон.Сейчас главная задача — аргументировать, зачем это надо бизнесу.

Когда у компании энтерпрайз-уровня вся инфраструктура под рукой, есть эфемерное ощущение, что ты действительно всем управляешь и это более безопасно и устойчиво.

Но компании нового типа изначально не строят on-prem инфраструктуру. Я думаю, что через лет 5–10 все вновь создаваемые компании перейдут в другую парадигму. Они будут выбирать из высококонкурентного рынка облаков. Не нужно заниматься закупками железа, ввозом, растаможкой, установкой, настройкой, и в целом не думать, как это работает. И при необходимости все можно достаточно быстро схлопнуть. К этому мы все постепенно и придем.

Чем именно занимается Cloud.ru в BugBounty на площадке BI ZONE? В чем заключается ваша задача и какие вы видите перспективы? 

— Мы готовы платить деньги багхантерам — белым хакерам — за то, что они находят уязвимости, ошибки конфигурации или архитектуры, которые мы не нашли.

Даже крупные иностранные вендоры, как бы они ни  были развиты, имеют уязвимости. Мы периодически слышим, что появилась очередная критическая уязвимость, которую нашли независимые исследователи, и надо срочно обновляться.

Сейчас уже налажено хорошее взаимодействие с комьюнити. Дело оперативно рассматривается, мы быстро выплачиваем деньги. И если зайти на BI ZONE, например, и посмотреть статистику, то Cloud.ru к текущему моменту выплатил более 2 млн рублей, последняя выплата была 400 тыс. рублей.

Сталкивались ли вы с техническими сложностями при замене зарубежных ИБ-решений на российские аналоги, и эффективно ли импортозамещение?

—К моменту, когда компании в России начали активно замещатьИБ-решения, Cloud.ru был одной из немногих компаний, кто уже почти заместился. Пять лет назад у нас были замещены уже около 90% систем. Тогда не заместили разве что NGFW. За эти пять лет Россия сделала скачок в развитии отечественных сред защиты информации, которые применяются во всех инфраструктурах.

Более того, теперь многие возможности и решения превосходят иностранные. Например, российские системы защиты от DDoS. На войне все развивается быстрее, а война в интернет-пространстве идет постоянно.

Конечно, есть и проблемы. У крупных иностранных вендоров весь мир — полигон, они торгуют со всем миром. У нас рынок меньше, он специализирован и нормирован, поэтому все процессы проходят чуть дольше. Но мы идем в фарватере. Через несколько лет вопроса о возвращении на иностранные решения стоять не будет.

Как в Cloud.ru организована защита ИИ-сервисов? Защищены ли ваши клиенты от хакерских атак?

— Сейчас мировые формируются подходы по использованию этих сервисов только формируют. Мы смотрим на продукты из нашей цифровой среды AI Factory как на инфраструктурные продукты. То есть эти продукты прошли все стадии вывода в эксплуатацию — private preview, public preview, general availability, как и остальные PaaS-сервисы у нас в инфраструктуре. Это значит, что разработчики и специалисты из Application Security прошли с ними все стадии безопасной разработки. 

Для клиентов мы юридически сделали следующую вещь: в договоре оферты указали, что данные, которые обрабатываются в наших Foundation Models, не имеют выхода в интернет, не доучиваются и между клиентами не передаются. Это проверено и внесено в договор. Поэтому компании могут безопасно их использовать и знать, что они не утекут, не будут переданы третьим лицам. Cloud.ru — российская компания, и на нас действует российское законодательство, в отличие от зарубежных AI-провайдеров. 

Также важно научить клиентов пользоваться этими моделями и рассказать о сценариях их использования. Поэтому сейчас проводится множество вебинаров на эту тему, в том числе по ИБ.

Достаточно ли в России сейчас высококлассных специалистов? Нет ли кадрового голода в сфере информационной безопасности? И работают ли такие высококлассные специалисты в Cloud.ru?

— Отвечу последовательно. Работают ли у нас такие высококлассные специалисты? Да, работают. Есть ли кадровый голод — здесь ответ чуть сложнее. Многое указывает на то, что в этом году рынок труда снова стал рынком работодателя. На hh.ru очень много резюме. Но на практике найти высококлассных специалистов, которые хорошо знают свою область, являются экспертами и готовы принести что-то новое — трудно. Сеньоры по-прежнему на вес золота. Кадровый голод есть именно среди таких высококлассных специалистов. 

Реклама. ООО «Облачные технологии», ИНН 7736279160, Erid: 2VtzqvQpj5g