Журнал "Information Security/ Информационная безопасность" #2, 2026

и как инструмент прозрачности, потому что в крупных инсталляциях вручную отследить такие связи практически невозможно. И в целом главный эффект заключа- ется в понимании реальной картины. ERP – сложная, живущая годами эко- система, где без системного контроля неизбежно накапливаются зоны риска. – Насколько реалистичен пере- ход от обнаружения к предик- тивной безопасности в ERP- системах? – Переход к предиктивной безопас- ности в ERP – это уже не теория, а постепенная эволюция, которая частично реализуется прямо сейчас. Но важно понимать, что это не скачок, а последо- вательное развитие текущих практик. Сегодня большинство решений нахо- дятся на уровне обнаружения и реаги- рования: мы находим уязвимости, ана- лизируем права, фиксируем отклонения. Следующий шаг – это накопление кон- текста и истории: система начинает понимать, какие изменения происходят регулярно, какие из них нормальны, а какие выбиваются из общей картины. Именно на этом уровне появляется зача- ток предиктивности. Например, можно заранее увидеть, что новая роль потен- циально нарушает принцип разделения обязанностей, или что изменение в коде приведет к риску еще до выхода в про- дуктив. То есть мы начинаем не просто фиксировать проблему, а предупреждать ее появление. Но полноценная предиктивная без- опасность требует более зрелых данных и процессов: накопленной статистики, интеграции с процессами разработки, понимания бизнес-контекста. В ERP это особенно сложно, потому что каждая система уникальна, сильно кастомизи- рована и живет десятилетиями. При этом есть еще один важный фак- тор – требования КИИ. Они подталки- вают рынок к тому, чтобы переходить от реактивной модели к управляемой и предсказуемой, потому что речь идет уже не только о рисках, но и об ответ- ственности. В пределах ближайших пяти лет мы, скорее всего, увидим гибридную модель, где базовые вещи уже автоматизированы и частично предсказываются, а сложные сценарии все еще требуют участия экс- пертов. И это нормально. В ERP слишком много бизнес-контекста, чтобы полностью все автоматизировать. Но двигаться в сторону предиктивности – абсолютно реалистично, и рынок уже туда идет. – Как будет выглядеть идеаль- ная модель защиты бизнес-при- ложений через три-пять лет? – Безопасность окончательно пере- станет быть отдельной функцией и ста- нет встроенной частью всех процессов работы с бизнес-приложениями. Речь не только про ERP. Это будет единый контур контроля для всех кри- тичных систем: ERP, CRM, внутренние порталы, отраслевые приложения, кото- рые перестанут рассматриваться как просто софт для бизнеса и начнут управ- ляться с точки зрения рисков – так же системно, как сегодня управляются инфраструктура или сеть. Первое, что изменится, – безопас- ность будет глубоко интегрирована в жизненный цикл изменений. Любое изменение в коде, настройках или ролях будет автоматически проверяться еще до попадания в продуктив. DevSecOps, который на Западе уже стал стандартом, у нас тоже окончательно закрепится как базовая практика. Второе – появится единый слой наблю- даемости и контроля. Не набор инстру- ментов, а именно единое окно, где видно состояние безопасности приложений в контексте бизнеса: какие процессы под риском, какие изменения влияют на кри- тичные операции, где есть отклонения. Третье – усилится автоматизация и элементы предиктивности. Системы будут не только находить проблемы, но и предупреждать о них заранее: на этапе проектирования ролей, разработки функ- ционала, изменения архитектуры. При этом человек не исчезнет из процесса, но его роль сместится в сторону принятия решений, а не ручного контроля. Четвертое – требования регуляторов (в том числе в части КИИ) окончательно закрепят эту модель. Компании будут обязаны не просто иметь средства защи- ты, а демонстрировать управляемый, непрерывный процесс обеспечения без- опасности бизнес-приложений. В этой модели решения вроде SafeERP занимают роль базового слоя – плат- формы, которая дает целостное пони- мание безопасности бизнес-приложений и связывает технические проверки с биз- нес-контекстом. Со временем такие решения перестанут восприниматься как что-то дополнительное, а станут стан- дартом для компаний, которые управляют рисками осознанно, а не реактивно. l Запросите демо SafeERP и узнайте, что реально происходит внутри вашей системы • 21 БЕЗОПАСНОСТЬ И НАДЕЖНОСТЬ 1С www.itsec.ru На правах рекламы Фото: Газинформсервис