Zero Trust без иллюзий: о чем говорили эксперты на Рутокен Day

Zero Trust без иллюзий: о чем говорили эксперты на Рутокен Day Zero Trust без иллюзий: о чем говорили эксперты на Рутокен Day Центральное место в программе прошедшей конференции «Рутокен Day. Технологии доверия» занял круглый стол, посвященный концепции Zero Trust и современным методам управления доступом в корпоративной среде. В обсуждении приняли участие: Дмитрий Грудинин, владелец линейки продуктов Avanpost Access, компания Avanpost, Андрей Лаптев, директор департамента продуктового развития, компания «Индид», Василий Огнев, директор по продукту (CPO), компания MFASOFT, Михаил Ванин, генеральный директор, компания Identity Blitz, Алексей Хмельницкий, генеральный директор, компания RooX. Модератором встречи выступил Андрей Тархов, директор по специальным проектам, Компания «Актив». Участники сошлись во мнении, что в реальных ИТ-ландшафтах процесс формирования доверия остается фрагментированным: разные системы, протоколы и команды поддерживают разрозненные контуры, что требует централизующей роли Access Management как слоя оркестрации. При этом было отмечено, что даже при наличии такого слоя архитектура не достигает заявленных целей, если в ее основе остаются парольные методы, являющиеся причиной 35% успешных атак в 2024 и 2025 годах. Это переносит в Zero Trust критические уязвимости и фактически обнуляет эффект от остальных мер. Консенсус участников — переход к строгой аутентификации является необходимым условием, а не опциональным улучшением. Отдельно зафиксировано различие между доверием к устройству и доверием к пользователю: встроенные механизмы, такие как TPM, решают задачу доверенной среды, но не могут выступать самостоятельным фактором пользователя. Эту роль выполняют только отчуждаемые криптографические носители, обеспечивающие переносимость, управляемость и контроль жизненного цикла ключей. В качестве следующего уровня зрелости обсуждалось расширение модели за счет контроля контекста и подтверждения действий: биометрия и «touch-подтверждение» рассматриваются как способ гарантировать не только факт аутентификации, но и осознанное участие пользователя в операции, снижая риски передачи доступа и фоновых злоупотреблений. В завершение дискуссии участники отдельно рассмотрели влияние такой архитектуры на практическую эксплуатацию. Было отмечено, что переход к строгой аутентификации меняет пользовательский опыт скорее в сторону упрощения (отказ от паролей, снижение блокировок), одновременно требуя продуманной реализации fallback-сценариев. Отдельное внимание уделено оптимизации операционного уровня — централизации управления, снижению нагрузки на поддержку и повышению управляемости. Также подробно обсуждался экономический аспект: структура TCO (носители, лицензии, внедрение, сопровождение) и факторы ROI, включая сокращение инцидентов, снижение затрат на поддержку и минимизацию простоев.