Журнал "Системы Безопасности" № 1‘2026

В Ц Е Н Т Р Е В Н И М А Н И Я 115 создать свои языки привели к специфическим результатам. Все же надо иметь в виду готов- ность ИТ-сообщества и наличие подготовлен- ных к использованию инструмента кадров. No-code и workflow Эти инструменты – дальнейшее развитие low- code-подхода, попытка максимально сократить написание кода за счет использования визуаль- ных конструкторов процесса и диаграмм вроде BPMN, с помощью чего код можно "оживить", запустив исполнение процесса. Когда я показал инструмент n8n своему другу, специалисту по АСУТП, он сказал: "Да это похо- же на FBD (Function Block Diagram) из стандарт- ных языков МЭК 61131-3". То есть данному подходу тоже не один десяток лет. Все, что про- изошло в последние годы, – повышение данно- го инструмента до уровня сложных бизнес-про- цессов с десятками задействованных информа- ционных систем. Как это выглядит на практике? Давайте разберем пример. На складе глубокой заморозки сырья на пище- вом производстве есть проблема: холодильни- ки периодически выходят из строя. Если вовре- мя не переложить сырье из одного холодиль- ника в другой, то убыток будет в несколько миллионов рублей. Сырье дорогое. Как может выглядеть workflow-реализация такого процесса? Например, слева-направо по схеме рис. 2: 1. Получаем по HTTP данные с сетевого сервера (первый квадрат на схеме). 2. Пишем код-парсер (второй квадрат, внутри которого low-code из рис. 1). 3. Пишем условие проверки температуры и сравнения с уставкой отправки уведомления (третий квадрат). 4. Ветка true: дополнительный код генерации текста оповещения и отправка оповещения в заданное окно интерфейса MES-платформы, по e-mail, СМС, звонком или любым другим способом. 5. Ветка false: сброс оповещения или сообще- ние об отмене. Выглядит так, что, освоив low-code- и workflow- подход, любой начальник подразделения смо- жет автоматизировать процессы в своей зоне ответственности самостоятельно. Я сталкивался с мнением, что многие из началь- ников в промышленных компаниях являются представителями "старой гвардии" и даже ком- пьютер включают с трудом. Но они являются носителями фундаментальных знаний о техно- логическом процессе. Во-первых, скорее всего, в их подразделении есть кто-либо из молодых специалистов, кому можно поручить "рисовать workflow". Мотивацией для молодых будет воз- можность продвигаться по службе за счет освоения востребованных современных навы- ков. Во-вторых, не раз слышал, что это в прин- ципе плохо, когда процессы производства нахо- дятся "в головах" конкретных персон, а не изло- жены на бумаге в стандартах предприятия. Вве- дение современных цифровых инструментов помогает устранить этот риск из-за необходи- мости переложить процессы "в цифру", для чего их сначала надо описать. Аспекты информационной безопасности в корпоративных инструментах low-code, no-code, workflow Вот мы и добрались до главного вопроса, воз- никающего всегда, когда мы даем очередную степень свободы широкому кругу лиц, – инфор- мационной безопасности. Какие риски несет внедрение практик low-code, no-code, workflow для бизнеса? Далее укоротим это перечисление до low-code. Во-первых, широкий круг лиц получает доступ к корпоративным данным. Соответственно, должны быть внедрены практики создания вит- рин данных и ограничения доступа к ним из low-code-инструментов. В противном случае широкий круг пользователей может получить доступ к коммерческой тайне, персональным данным и прочей чувствительной информации. Если в результате работы low-code-сценариев генерируются новые данные, то они должны проходить верификацию перед использовани- ем в других витринах или основной базе дан- ных компании. Необходимо создать правила, не позволяющие некорректным данным, сгене- рированным в результате сценариев, созданных пользователями, нанести критический техноло- гический или коммерческий ущерб деятельно- сти подразделений или компании. Во-вторых, использование интеграций, как источников, так и получателей данных, должно быть регламентировано и ограничено. Особен- но это касается информационных систем за пределами корпоративной сети. Очевидный сценарий, но все же требует упоминания и при- нятия во внимание. Кто угодно в компании не должен иметь возможность легко настроить "слив" данных кому угодно внутри или за пре- делами компании. В-третьих, редактирование low-code-сценариев должно быть доступно только определенному кругу сотрудников подразделений, и с разбив- кой по подразделениям. Рядовой оператор не должен иметь возможность "скорректировать" свои сменные задания или расчет своих метрик эффективности, равно как и сотрудники другого подразделения не должны иметь возможность "испортить" что-либо коллегам или начать открывать шлагбаум на проходной всем подряд. Четвертый вариант: low-code имеет доступ к технологическому процессу. Тут требуется обя- зательно использовать этап верификации и вво- дить допуски по технологическому процессу. Можно перечислить еще много сценариев, но это основные. И во всех этих сценариях каждая группа пользователей должна иметь свой набор ролей, а каждая роль – свои гибко настраивае- мые допуски до тех или иных сущностей low- code-платформы. И это зачастую является ограничением для использования открытых бес- платных low-code-платформ внутри корпораций. Если грамотно настроить ролевую модель для low-code, то можно получить огромный плюс к информационной безопасности – значитель- ное сокращение присутствия внешних разра- ботчиков в корпоративном контуре предприя- тия! И огромный прирост в скорости внедрения изменений в бизнес-процессах с участием ИТ- составляющей! А это огромное преимущество в наше время, особенно для заказчиков с дей- ствительно чувствительной информацией. Ино- гда согласование доступов и проверка подряд- чиков занимает больше времени, чем реализа- ция изменения. Не говоря о том, что после завершения работ служба безопасности заказ- чика не имеет контроля над персоналом испол- нителя. Заключение Появление каждой новой технологии, не только в ИТ, несет много преимуществ, равно как и новых рисков. Например, сколько лет не уда- ется регламентировать использование беспи- лотных автомобилей на всех дорогах мира. С инструментами low-code проще. Выгоды настолько очевидны, а методы обеспечения информационной безопасности настолько известны, что следует лишь выбирать зрелые low-code-решения, которые позволят осуще- ствить этот революционный переход в развитии корпоративных информационных систем и цифровизации безопасно. По моему мнению, умение оцифровывать про- цессы на верхнем уровне, используя low-code, no-code и workflow, станет обязательным в бли- жайшие годы для того, чтобы писать о себе "уверенный пользователь ПК". И это применимо не только на работе. Благодаря таким инстру- ментам очень удобно настраивать умные дома, делать себе боты-помощники в мессенджерах и многое другое. Человечество заменяет много ручного труда машинами и автоматизацией, но роль человека в создании процессов только возрастает. n Иллюстрации автора. www.secuteck.ru февраль – март 2026 Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Рис. 2. Workflow-процесс контроля температур