Максим Хомутинников из ADP: Основы защиты закладываются не паролем, а системной архитектурой
Сфера информационной безопасности давно перестала быть прерогативой узких специалистов. Утрата конфиденциальных сведений, компрометация учетных записей и мошеннические схемы теперь затрагивают всех — от рядового пользователя банковских сервисов до руководителей компаний. Несмотря на значимость угроз, многие продолжают относиться к цифровой защите как к второстепенному элементу. Однако она превратилась в неотъемлемый компонент повседневных практик, культуры создания продуктов и стратегического планирования. Просчёты — как в действиях конечных пользователей, так и в проектных решениях — становятся всё более затратными. Почему защищенность следует считать не опцией, а частью корпоративной культуры? Как создавать решения, которые не просто решают задачи, но на каждом этапе учитывают потребности и защищённость пользователей? На эти и другие вопросы CNews ответил разработчик и педагог Максим Хомутинников. В международной компании ADP он курирует вопросы безопасности приложений — организация разрабатывает цифровые платформы для расчёта заработной платы и кадрового администрирования, помогая компаниям любого масштаба оптимизировать процессы и повышать производительность.
CNews: Максим, сегодня вопросы кибербезопасности поднимаются не только в ИТ-сообществе, но и в деловой среде, СМИ, обычных беседах. Как вы считаете, чем вызвана такая универсальная актуальность темы?
Максим Хомутинников: Это закономерно, ведь цифровое пространство стало неотъемлемой частью реальности: от создания учётной записи в сервисе до размещения файлов в онлайн-хранилищах. Каждый человек, независимо от технической грамотности, взаимодействует с цифровыми системами, оставляет электронные следы и тем самым формирует потенциальные векторы для атак.
Для архитекторов и инженеров это подразумевает учет подобных угроз уже на стадии проектирования. К примеру, недочеты в обработке входящих данных, ошибочная организация аутентификации или незащищенные интерфейсы API превращаются в бреши, способные стать объектом массовых атак. Следовательно, безопасность — это не просто установка защитного ПО, а функционирующий комплекс управления доступом, шифрования, наблюдения, распределения полномочий, ведения логов и оперативного анализа происшествий. Это фундаментальная концепция, а не дополнительный модуль.
CNews: Как вы считаете, насколько сами разработчики понимают, что их решения влияют на защищенность не только компаний, но и каждого отдельного пользователя?
Максим Хомутинников: Понимание формируется не во всех случаях и не мгновенно. Чаще всего безопасность рассматривается как этап, идущий после создания продукта: сначала разрабатываем решение, а затем добавляем элементы защиты. Это методологическая погрешность. Подобная стратегия порождает «технический долг» и требует дополнительных вложений на исправление.
В своей работе я внедряю подход безопасного жизненного цикла разработки (secure software development lifecycle), где защита закладывается с начальных этапов — через прогнозирование угроз, исследование уязвимостей, управление разрешениями на уровне инфраструктуры, использование принципа минимальных привилегий и включение автоматизированного тестирования в CI/CD-цепочки.
В рамках одного из проектов в ADP мы наладили взаимодействие между системами безопасности для оперативного обмена данными об угрозах — это сократило время реагирования на инциденты и обеспечило автономную фильтрацию вредоносного трафика. Подобный пример доказывает: чем раньше предусматриваешь риски — тем надежнее, экономичнее и защищеннее конечная платформа.
CNews: Ваши университетские курсы помогли многим студентам пройти стажировки и включиться в реальные проекты. Каким образом вы формируете у них восприятие кибербезопасности не как абстрактной теории, а как неотъемлемого компонента профессиональной деятельности?
Максим Хомутинников: Я ориентирую учебный процесс на практическое применение. На занятиях мы воссоздаем реальные сценарии: от создания устойчивых к сбоям архитектур до оценки защищенности при взаимодействии с распределенными базами данных, где информация размещается не на едином сервере, а на множестве узлов, и NoSQL-хранилищами — нереляционными системами для работы с крупными массивами данных. Мы изучаем не только специфику хранения и обработки информации в MongoDB, HBase, Hive, но и возможные слабые места каждого подхода — например, недостаток встроенной поддержки транзакций или угрозы при репликации без применения шифрования.
Значительный акцент делается на обеспечении безопасности в облачной инфраструктуре: изучаем проектирование IAM-ролей, механизмы защиты в Hadoop, методы реализации безопасного масштабирования и конфигурационных настроек. Учащиеся осваивают инсталляцию и конфигурирование систем управления базами данных, работают с концептуальными моделями, разрабатывают ER-диаграммы, а также овладевают применением SQL для создания хранимых процедур и пользовательских функций с учетом аспектов защиты. Подобный подход позволяет им осваивать фундаментальные элементы защищенной архитектуры до непосредственного столкновения с ними в промышленной эксплуатации.
CNews: Что послужило исходным импульсом вашего увлечения цифровой безопасностью? Это был целенаправленный выбор или вы пришли к этой области через практический опыт?
Максим Хомутинников: Через практику. После получения инженерного образования в сфере электроники и наноэлектроники я начал с системной разработки и постепенно столкнулся с проблемами информационной защиты в реальных проектах. Особенно многое прояснилось, когда я занялся разработкой автоматизации бизнес-процессов в ADP.
Мы внедряли сквозную интеграцию между системами безопасности: данные threat intelligence применялись для мониторинга событий в реальном времени, выявления индикаторов компрометации и их передачи в систему автоматического блокирования. Одновременно я создавал конвейеры автоматизированной оценки рисков на корпоративном уровне — с распределением оповещений между владельцами продуктов и последующим мониторингом устранения проблем.
Этот опыт убедил меня, что безопасность нельзя рассматривать как дополнение. Её необходимо закладывать изначально — на уровне архитектурных решений, DevOps-процедур и стратегии работы с данными.
CNews: Сейчас вы развиваете собственный стартап — YouPet. Проект объединяет технологии, заботу о животных, создание сообщества, но существует и другой аспект — обработка персональных данных: пользовательские профили, истории питомцев и другие сведения. Каков ваш подход к защите всей этой информации?
Максим Хомутинников: Безопасность всегда была и остается ключевым приоритетом для нашей команды. С первых этапов мы закладываем в платформу все необходимые защитные механизмы: шифруем информацию при передаче и хранении, обеспечиваем строгий контроль доступа, регулярно проводим аудит логов доступа и следуем принципам минимизации данных для снижения рисков утечки.
Дополнительно мы интегрировали поддержку многофакторной аутентификации (по желанию пользователя) и соблюдаем разграничение прав доступа на основе принципа Наименьших Привилегий. Данный подход предполагает, что пользователи и процессы должны обладать только минимальными правами, необходимыми для выполнения своих функций, что существенно снижает потенциальный ущерб от инцидентов безопасности. Эта концепция защиты играет решающую роль в ограничении воздействия скомпрометированных учетных записей и предотвращении распространения вредоносного программного обеспечения.
CNews: По сути, ваш проект представляет собой информационную базу и набор сервисов для владельцев питомцев и специалистов, работающих с животными. Как возникла концепция такой платформы?
Максим Хомутинников: Истоки лежат в моей личной истории: мне не удавалось найти ресурс, где можно было бы не только записаться на прием к ветеринару, но и пообщаться с другими хозяевами животных, получить советы в нужный момент, легко отыскать требуемые услуги — например, груминг или профессиональную передержку — или сделать взнос в пользу приюта для питомцев. Я не обнаружил системы, которая совмещала бы всё перечисленное. Так появилась идея разработать не просто сервис для записи к ветеринару, а целостную среду, где доступны услуги, общение и даже поиск партнера — к примеру, один из наших новых инструментов помогает знакомиться людям, у которых есть домашние любимцы. Ведь у них уже есть общая тема, способная стать основой для приятного общения по интересам.
CNews: Как вы считаете, что помогло платформе заслужить звание «Продукт года» на международной деловой выставке American Business Expo для предпринимателей и инвесторов? В чем заключается ее ключевое преимущество — в технической составляющей или в социальной значимости?
Максим Хомутинников: В том, что мы гармонично соединили обе стороны. С технической точки зрения — это масштабируемая система, основанная на микросервисной архитектуре, с обеспечением безопасного взаимодействия между пользователями, экспертами и сервисами. Все бизнес-процессы реализованы с учетом строгих требований к защите информации: от шифрования и проверки подлинности до механизмов контроля доступа и получения согласий на обработку данных.
Что касается ценности для пользователей — платформа предоставляет не только доступ к зооуслугам, но и поддерживает программы анималотерапии, включая работу с детьми, имеющими особые потребности, и людьми с тревожными расстройствами. Для этого мы интегрировали соответствующие сервисы через API партнерских организаций. Это повысило общественную ценность продукта и продемонстрировало, как технологии способны решать практические задачи — при сохранении высокого уровня безопасности.
CNews: Вы также выступаете в роли судьи на профессиональных конкурсах, например Global Innovator — 2025 при поддержке Skolkovo Tech & Innovation Awards, где оцениваете цифровые продукты. Какие аспекты, помимо защищенности, являются для вас важными?
Максим Хомутинников: Прежде всего я анализирую архитектуру продукта: насколько стабильно он функционирует, возможна ли его дальнейшая модернизация, не представляет ли он угрозы для потребителей. Затем я оцениваю практическую ценность. Приносит ли решение ощутимые результаты? Облегчает ли оно жизнь людям, справляется ли со значимыми проблемами? Особенно важно, когда при создании соблюдаются ключевые принципы: универсальность для различных категорий пользователей, бережное отношение к личной информации и интеграционность — например, совместимость со вспомогательными технологиями для лиц с ограниченными возможностями. Именно эти аспекты непосредственно определяют, станет ли технология по-настоящему ценной, а не просто технологически продвинутой. В качестве судьи я привык рассматривать проекты одновременно с профессиональной и потребительской точек зрения.
CNews: Какие проблемы в сфере кибербезопасности, на ваш взгляд, ожидают в ближайшем будущем как обычных пользователей, так и создателей цифровых сервисов?
Максим Хомутинников: Полагаю, большинство опасностей будет связано с применением искусственного интеллекта. Такие технологии, как глубокие подделки и генеративные алгоритмы, позволяют злоумышленникам производить правдоподобные текстовые сообщения, аудиозаписи и видеоролики, что усложняет распознавание обмана. Преступники могут задействовать ИИ для автоматизации атакующих методик, генерации вредоносных программ и эксплуатации уязвимостей оперативнее, чем успевают адаптироваться классические защитные механизмы. Как следствие, ужесточится нормативное регулирование. Особенно в аспектах, связанных с личными данными — методов их сбора, хранения и круга лиц, имеющих к ним доступ. Организациям придётся всё чаще подтверждать, что хранимая информация надёжно охраняется, а правила обработки данных открыты и доступны для понимания клиентами.
CNews: Как лично вы готовитесь к этим изменениям? Что бы вы рекомендовали новичкам, начинающим карьеру в этой области?
Максим Хомутинников: Я постоянно совершенствую свои знания: в настоящее время прохожу подготовку к международной сертификации CSSLP от ISC2, актуализирую учебные программы в вузе, приводя их в соответствие с запросами индустрии и добавляя модули по использованию ИИ-моделей в защите информации.
Касательно рекомендаций специалистам, считаю, что в современных условиях ключевым конкурентным преимуществом становится навык применения ИИ в целях кибербезопасности. Необходимо осваивать создание ИИ-моделей на Python, учиться внедрять машинное обучение в системы управления информационной безопасностью, автоматизировать проверочные процессы в инфраструктуре и обеспечивать защищённые цепочки поставки программного обеспечения. Перспективная кибербезопасность — это синтез искусственного интеллекта, анализа поведенческих паттернов и оперативного противодействия угрозам в живом режиме.
