Баланс безопасности и скорости: как совмещать защиту и эффективность IT-разработки
Буквально за несколько последних лет обеспечение информационной безопасности компании перестало быть задачей исключительно технических подразделений. Сегодня это стратегическая функция, напрямую влияющая на устойчивость, непрерывность деятельности и даже на бизнес-результаты. Рост числа кибератак, сложность цифровых продуктов и требования к скорости вывода решений на рынок заставляют компании искать баланс между защитой и эффективностью разработки. Но этот баланс не идеальная формула, а постоянный процесс, требующий развития внутренней культуры, технологий и зрелого управления рисками.
Культура разработки как основа безопасности
Главный риск корпоративных IT-систем заключается не в отсутствии инструментов защиты, а в человеческом факторе. Даже при наличии современных инструментов мониторинга и ревью логические ошибки в коде часто могут остаться незамеченными. Достаточно одной не сделанной на нужном этапе проверки, чтобы злоумышленник получил доступ к данным клиентов.
В Wildberries & Russ мы придерживаемся строгого подхода к аудиту всей критичной функциональности — наши команды рассматривают несколько десятков релизов нового функционала в неделю.
По данным исследовательской компании Veracode, порядка 70% уязвимостей в корпоративных приложениях связано с ошибками в бизнес-логике и цепочках поставок программного обеспечения от подрядчиков, их субподрядчиков и разработчиков используемых ими компонент до конечного заказчика, а не с нарушениями в инфраструктуре. Это означает, что безопасность продукта должна закладываться с самого начала — еще на стадии проектирования и написания кода.
Именно поэтому в IT-среде активно развивается концепция shift everywhere security, которая предполагает анализ безопасности на всех этапах, где он принесет наибольшую пользу. Речь идет не просто о проверках кода и разовых проверках концепций новых решений, а о формировании у разработчиков устойчивых практик безопасного программирования и внедрении проверок на всех этапах жизненного цикла продукта. Обучение типовым уязвимостям, внедрение готовых кодовых шаблонов и автоматическая проверка на уязвимости становятся неотъемлемой частью производственного процесса.
Когда появляется эффективность
Полностью исключить человеческий фактор невозможно, при этом бесконечный наем новых сотрудников проблему не решит — специалистов нужного уровня на рынке просто недостаточно. Поэтому компании ищут оптимальное соотношение между числом разработчиков и специалистов по безопасности. Практика российского рынка показывает, что устойчивый баланс достигается при наличии развитой инфраструктурной безопасности, процессов мониторинга и реагирования, высокой степени автоматизации процессов безопасной разработки приблизительно при соотношении «один инженер по безопасности приложений на 100 разработчиков».
Современные инструменты анализа кода и оркестраторы безопасности позволяют сократить долю ручной проверки, но не могут полностью заменить экспертную оценку. Автоматические сканеры нередко выдают ложные срабатывания, перегружая разработчиков и замедляя релизы.
Чтобы решить эту проблему, компании начинают применять большие языковые модели (LLM), которые улучшают качество поиска по сравнению со статичным набором правил проверок, перепроверяют срабатывания, через агенты пытаются проверить наличие уязвимости в реальной среде, а также переводят сообщения сканеров на понятный язык — объясняют, почему тот или иной участок кода потенциально опасен, и предлагают варианты исправления. Это снижает нагрузку на инженеров и повышает качество работы без роста штата.
В частности, у нас в компании непосредственно аудитами безопасности бизнес-функционала занимается чуть более 20 сотрудников, а автоматизацией — около десятка. Такой подход позволяет без существенного роста группы аудитов безопасности путем автоматизации поддерживать оптимальный баланс между числом сотрудников и скоростью внедрения решений, а также обеспечивать высокий уровень безопасности.
Такой подход позволяет поддерживать актуальность систем защиты без избыточных издержек и замедления процессов. В структуре крупной компании это десятки человек, которые занимаются автоматизацией проверки кода, ревью, управлением инцидентами и обучением команд.
По данным IBM Security, средняя стоимость инцидента, связанного с утечкой данных, в 2024 году составила $4,88 млн. При этом инвестиции в профилактику и обучение позволяют снизить риск подобных инцидентов более чем на треть. Безопасность — не страховка, а фактор экономии: каждая недоинвестированная единица бюджета в киберзащиту со временем может превратиться в кратно большие потери.
Тем не менее автоматизация не отменяет необходимости в живой экспертизе. Каждый новый уровень автоматизации требует настройки, тестирования и сопровождения. Поэтому ключевой фактор эффективности — не количество инструментов, а то, насколько гибко они встроены в существующие процессы разработки. Вероятно, самая точная метрика эффективности — ответ на вопрос «А позволили ли совокупные вложения в автоматизацию безопасной разработки и внедрение LLM дойти до точки безубыточности и начала окупаемости инвестиций по сравнению с прямым наймом инженеров по безопасности приложений относительно полноты и точности нахождения серьезных дефектов?».
Стратегия снижения риска
В реальности невозможно сделать систему абсолютно защищенной. Безопасность — это не состояние, а динамическое равновесие между принятием рисков и их минимизацией. В компаниях с развитой культурой управления безопасностью решения о защите принимаются исходя из risk appetite — уровня риска, который бизнес готов принять ради достижения своих целей.
Такой подход позволяет избегать крайностей: с одной стороны, чрезмерной зарегулированности, которая тормозит инновации, с другой — опасного попустительства, когда экономия на безопасности приводит к катастрофическим потерям. На зрелом рынке безопасность становится частью экономической модели — управляемым параметром, а не реакцией на инциденты.
Одним из самых эффективных инструментов повышения устойчивости систем и валидации выбранной стратегии снижения риска до приемлемого уровня стали программы bug bounty, где независимые исследователи тестируют продукты на уязвимости.
В отличие от классического пентеста, который проводится раз в год, bug bounty программа и инвестиции в ее пиарную составляющую среди исследователей работают непрерывно, а значит, уязвимости выявляются в реальном времени. Важным фактором успеха становится мотивация участников: прозрачная система вознаграждений, репутационные бонусы и быстрая обратная связь.
В Wildberries, например, программа действует уже три года, в ней участвует более 200 различных продуктов и сервисов, и за это время мы выплатили багхантерам почти 20 млн рублей, из них 10 млн рублей — только за последний год.
По оценкам Bugcrowd, за последние пять лет рынок bug bounty вырос более чем вдвое, а доля компаний, использующих краудсорсинговые тесты, превысила 60%. Это подтверждает, что внешние исследователи становятся не угрозой, а частью современной модели киберустойчивости.
Люди важнее систем
Современные кибератаки развиваются быстрее, чем любые средства защиты. Технологии помогают, но ключевым фактором остается человеческий капитал. Компании, которые инвестируют в обучение, создают внутренние сообщества специалистов и выстраивают культуру ответственности за код, оказываются значительно устойчивее в долгосрочной перспективе.
Безопасность перестает быть «внешней функцией» — она становится частью ДНК бизнеса. И чем раньше компания осознает это, тем меньше вероятность, что цену за безопасность придется платить уже после инцидента.
Этот материал опубликован на платформе бизнес-сообщества Forbes Экспертиза
Культура разработки как основа безопасности
Главный риск корпоративных IT-систем заключается не в отсутствии инструментов защиты, а в человеческом факторе. Даже при наличии современных инструментов мониторинга и ревью логические ошибки в коде часто могут остаться незамеченными. Достаточно одной не сделанной на нужном этапе проверки, чтобы злоумышленник получил доступ к данным клиентов.
В Wildberries & Russ мы придерживаемся строгого подхода к аудиту всей критичной функциональности — наши команды рассматривают несколько десятков релизов нового функционала в неделю.
По данным исследовательской компании Veracode, порядка 70% уязвимостей в корпоративных приложениях связано с ошибками в бизнес-логике и цепочках поставок программного обеспечения от подрядчиков, их субподрядчиков и разработчиков используемых ими компонент до конечного заказчика, а не с нарушениями в инфраструктуре. Это означает, что безопасность продукта должна закладываться с самого начала — еще на стадии проектирования и написания кода.
Именно поэтому в IT-среде активно развивается концепция shift everywhere security, которая предполагает анализ безопасности на всех этапах, где он принесет наибольшую пользу. Речь идет не просто о проверках кода и разовых проверках концепций новых решений, а о формировании у разработчиков устойчивых практик безопасного программирования и внедрении проверок на всех этапах жизненного цикла продукта. Обучение типовым уязвимостям, внедрение готовых кодовых шаблонов и автоматическая проверка на уязвимости становятся неотъемлемой частью производственного процесса.
Когда появляется эффективность
Полностью исключить человеческий фактор невозможно, при этом бесконечный наем новых сотрудников проблему не решит — специалистов нужного уровня на рынке просто недостаточно. Поэтому компании ищут оптимальное соотношение между числом разработчиков и специалистов по безопасности. Практика российского рынка показывает, что устойчивый баланс достигается при наличии развитой инфраструктурной безопасности, процессов мониторинга и реагирования, высокой степени автоматизации процессов безопасной разработки приблизительно при соотношении «один инженер по безопасности приложений на 100 разработчиков».
Современные инструменты анализа кода и оркестраторы безопасности позволяют сократить долю ручной проверки, но не могут полностью заменить экспертную оценку. Автоматические сканеры нередко выдают ложные срабатывания, перегружая разработчиков и замедляя релизы.
Чтобы решить эту проблему, компании начинают применять большие языковые модели (LLM), которые улучшают качество поиска по сравнению со статичным набором правил проверок, перепроверяют срабатывания, через агенты пытаются проверить наличие уязвимости в реальной среде, а также переводят сообщения сканеров на понятный язык — объясняют, почему тот или иной участок кода потенциально опасен, и предлагают варианты исправления. Это снижает нагрузку на инженеров и повышает качество работы без роста штата.
В частности, у нас в компании непосредственно аудитами безопасности бизнес-функционала занимается чуть более 20 сотрудников, а автоматизацией — около десятка. Такой подход позволяет без существенного роста группы аудитов безопасности путем автоматизации поддерживать оптимальный баланс между числом сотрудников и скоростью внедрения решений, а также обеспечивать высокий уровень безопасности.
Такой подход позволяет поддерживать актуальность систем защиты без избыточных издержек и замедления процессов. В структуре крупной компании это десятки человек, которые занимаются автоматизацией проверки кода, ревью, управлением инцидентами и обучением команд.
По данным IBM Security, средняя стоимость инцидента, связанного с утечкой данных, в 2024 году составила $4,88 млн. При этом инвестиции в профилактику и обучение позволяют снизить риск подобных инцидентов более чем на треть. Безопасность — не страховка, а фактор экономии: каждая недоинвестированная единица бюджета в киберзащиту со временем может превратиться в кратно большие потери.
Тем не менее автоматизация не отменяет необходимости в живой экспертизе. Каждый новый уровень автоматизации требует настройки, тестирования и сопровождения. Поэтому ключевой фактор эффективности — не количество инструментов, а то, насколько гибко они встроены в существующие процессы разработки. Вероятно, самая точная метрика эффективности — ответ на вопрос «А позволили ли совокупные вложения в автоматизацию безопасной разработки и внедрение LLM дойти до точки безубыточности и начала окупаемости инвестиций по сравнению с прямым наймом инженеров по безопасности приложений относительно полноты и точности нахождения серьезных дефектов?».
Стратегия снижения риска
В реальности невозможно сделать систему абсолютно защищенной. Безопасность — это не состояние, а динамическое равновесие между принятием рисков и их минимизацией. В компаниях с развитой культурой управления безопасностью решения о защите принимаются исходя из risk appetite — уровня риска, который бизнес готов принять ради достижения своих целей.
Такой подход позволяет избегать крайностей: с одной стороны, чрезмерной зарегулированности, которая тормозит инновации, с другой — опасного попустительства, когда экономия на безопасности приводит к катастрофическим потерям. На зрелом рынке безопасность становится частью экономической модели — управляемым параметром, а не реакцией на инциденты.
Одним из самых эффективных инструментов повышения устойчивости систем и валидации выбранной стратегии снижения риска до приемлемого уровня стали программы bug bounty, где независимые исследователи тестируют продукты на уязвимости.
В отличие от классического пентеста, который проводится раз в год, bug bounty программа и инвестиции в ее пиарную составляющую среди исследователей работают непрерывно, а значит, уязвимости выявляются в реальном времени. Важным фактором успеха становится мотивация участников: прозрачная система вознаграждений, репутационные бонусы и быстрая обратная связь.
В Wildberries, например, программа действует уже три года, в ней участвует более 200 различных продуктов и сервисов, и за это время мы выплатили багхантерам почти 20 млн рублей, из них 10 млн рублей — только за последний год.
По оценкам Bugcrowd, за последние пять лет рынок bug bounty вырос более чем вдвое, а доля компаний, использующих краудсорсинговые тесты, превысила 60%. Это подтверждает, что внешние исследователи становятся не угрозой, а частью современной модели киберустойчивости.
Люди важнее систем
Современные кибератаки развиваются быстрее, чем любые средства защиты. Технологии помогают, но ключевым фактором остается человеческий капитал. Компании, которые инвестируют в обучение, создают внутренние сообщества специалистов и выстраивают культуру ответственности за код, оказываются значительно устойчивее в долгосрочной перспективе.
Безопасность перестает быть «внешней функцией» — она становится частью ДНК бизнеса. И чем раньше компания осознает это, тем меньше вероятность, что цену за безопасность придется платить уже после инцидента.
