21 Мая 2026 12:16 21 Мая 2026 12:16 |

Поделиться

Евгений Бабицкий, Compliance Control: Защита бизнеса с помощью комплаенса: как сократить риски и ускорить развитие

Для большинства организаций информационная безопасность до сих пор считается расходами, а не вложением средств. Именно здесь комплаенс играет решающую роль: он позволяет не создавать безупречную защиту, а повысить минимально допустимый уровень и уменьшить угрозы. О том, как достичь равновесия между предписаниями регуляторов, потребностями бизнеса и возможностями ИТ, размышляет Евгений Бабицкий, сооснователь Compliance Control.

CNews: Справедливо ли утверждение, что комплаенс — это сравнительно новая сфера в области информационной безопасности?

Евгений Бабицкий: Я бы не стал называть комплаенс новым направлением, особенно если рассматривать его в широком контексте. По сути, он существует ровно столько же, сколько и системы, в которых одни участники могут устанавливать обязательные правила для других. В кибербезопасности это тоже не история последних лет. Просто сейчас она стала более заметной, поскольку для бизнеса требования к защите данных перестали быть необязательной темой. Для большинства компаний информационная безопасность по-прежнему воспринимается как издержки, а не как источник прибыли, и именно здесь комплаенс выполняет важную функцию: он помогает не выстроить идеальную систему защиты, а повысить минимально необходимый уровень таким образом, чтобы уменьшить риск финансовых потерь, ущерба репутации и перебоев в работе бизнеса.

Однако комплаенс в области кибербезопасности — это не формальная сверка по контрольному списку, а куда более многогранная деятельность. Здесь постоянно нужно искать компромисс между потребностями бизнеса, стремящегося минимизировать расходы, службы безопасности, желающей ужесточить надзор, и ИТ-отдела, имеющего собственные задачи и ограничения. Как известно, наиболее защищенная система — это та, которая отключена от сети, но для бизнеса такой вариант не имеет смысла. Поэтому цель комплаенса заключается не в том, чтобы «задавить» организацию нормами, а в том, чтобы отыскать оптимальный баланс и довести общий уровень зрелости до приемлемых показателей. Именно в этом, по моему мнению, и состоит его подлинная значимость.

CNews: И как давно ваша компания действует в этой области? Рынок расширяется?

Евгений Бабицкий: Мы занимаемся этим направлением уже почти 15 лет. За этот период компания Compliance Control эволюционировала из узкопрофильного консультанта по сертификации и аудиту в крупную практику в сфере ИБ-комплаенса, где мы не просто курируем отдельные задачи, а системно работаем с нормативами и повышением уровня защищенности у заказчиков. Сейчас это включает и сертификационные проекты, и консультации, и комплексную деятельность по адаптации компаний под требования различных стандартов. Для нас принципиально, что это не просто формальный compliance. Мы планомерно усиливаем направления, связанные с реальной защитой бизнеса: экспертный консалтинг, этичный хакинг, регулярное тестирование инфраструктуры, а также проверку сервисов и цифровых продуктов клиентов на устойчивость к актуальным угрозам.

Что касается рынка, он, несомненно, расширяется, и мы это ощущаем на практике. За последние пять лет, за исключением, пожалуй, 2022 года, наши темпы роста более чем вдвое превосходили динамику рынка информационной безопасности, о которой сообщают профильные аналитики и отраслевые издания. Это заметно и по числу проектов, и по доходам, и по увеличению штата. Такой результат для нас не случаен: в последние годы у компании сложилась продуманная стратегия развития, позволяющая не просто расти, но и четко осознавать, куда мы движемся и как удерживать этот темп даже в сложных обстоятельствах.

CNews: Кто является вашими клиентами? На каких территориях вы ведете деятельность?

Евгений Бабицкий: За последние годы наш стратегический подход стал значительно более целенаправленным. Мы намеренно отказались от ряда потенциально возможных направлений и сконцентрировали усилия на тех сегментах, где обладаем настоящей компетенцией: банковская сфера, финтех, финансовые услуги, розничная торговля и все, что касается денежных операций. При этом наша деятельность не ограничивается одной страной. В таких проектах организациям необходимо учитывать несколько уровней нормативов: международные стандарты и правила крупных платежных систем, местные законы о защите персональных данных, предписания центральных банков и национальные требования к информационной безопасности.

Именно это составляет одно из наших ключевых преимуществ. Если локальный специалист, как правило, разбирается только в правилах своей страны, то мы способны сопоставлять и объединять требования различных рынков. Например, фирма может знать, как организована работа в России, но при выходе на рынки Казахстана, Узбекистана или других государств ей потребуется более глубокая экспертиза: как обеспечивается защита персональных данных, как регулируются данные по картам, криптоактивы и другие чувствительные процессы в каждой конкретной юрисдикции. Именно такая международная и одновременно локально точная компетенция приносит клиентам практическую пользу и позволяет нам вести проекты, где знаний одной страны для полного понимания ситуации уже недостаточно.

CNews: Не могли бы вы привести пример востребованной консультационной услуги или продукта?

Евгений Бабицкий: Если говорить о традиционных проектах в области комплаенс, то это по-прежнему одна из самых популярных услуг: в среднем такой проект занимает у нас около трех месяцев. Однако если выделить не только популярное, но и наиболее интересное для нас направление, я бы упомянул этичный хакинг. За последние годы мы вложили значительные средства в это направление и сейчас, по нашим оценкам, входим в число ведущих команд на российском рынке по числу специалистов и реализованных проектов.

Особенно показателен формат, когда мы берем крупные банки на долгосрочное сопровождение: в течение года тестируем новые версии, сервисы и обновления, фактически постоянно проверяя систему на устойчивость. Параллельно активно развивается экспертный консалтинг как квинтэссенция накопленного опыта. За год мы выполняем сотни проектов в десятках стран. Это дает нам очень глубокое понимание того, как реально устроен рынок. Поэтому, когда к нам обращаются компании с вопросом «как сделать правильно», мы можем опираться не на теорию, а на обширный практический опыт.

CNews: Какие направления или регионы вы сейчас осваиваете?

Евгений Бабицкий: Около 15 лет назад мы начинали как узкопрофильный аудитор по комплаенсу, ориентированный прежде всего на банковскую сферу. Это наша профессиональная база, где мы глубже всего понимаем потребности рынка, умеем справляться со сложными задачами и находить общий язык с клиентами.

При этом для нас было важно не разбрасываться и вовремя освоить искусство отказывать. Стратегия зрелой компании заключается не только в умении замечать перспективы, но и в способности отвергать то, что отвлекает от цели, даже если это обещает быструю выгоду. Именно благодаря такому фокусу у нас сформировалась четкая специализация. Мы стремимся стать для выбранных отраслей — банковского сектора, финтеха, финансовых услуг, ритейла и всего, что связано с денежными операциями — надежным партнером. Это консультант, к которому обращаются не ради формальной услуги, а чтобы понять, как действовать правильно, где скрыты основные риски и как избежать системных ошибок. В этом смысле нам близка роль, которую в свое время играла большая четверка в финансовом аудите, а McKinsey или Gartner — в разработке стратегий.

Здесь важно отметить: мы не интегратор. Мы не предлагаем клиентам программное обеспечение, оборудование или другие технологические продукты, и именно это позволяет нам сохранять независимость. Для нас принципиально оставаться консультантом, которому доверяют не из-за продвижения конкретного решения, а благодаря способности объективно оценить ситуацию и предложить наилучший путь. Параллельно мы развиваем партнерскую и экспертную экосистему: сотрудничаем с отраслевыми ассоциациями, участвуем в совместных исследованиях и разработке методологий, взаимодействуем с профессиональными сообществами в России, Узбекистане, Казахстане, Кыргызстане, Таджикистане и странах MENA. Это тоже часть стратегии: не просто предоставлять услуги, а создавать вокруг себя устойчивое экспертное сообщество и укреплять доверие рынка.

CNews: Верно ли, что ваша компания оказывает только консалтинговые услуги — функции интегратора вы не берете на себя?

Евгений Бабицкий: Да, это так: мы сознательно сохраняем за собой консультативную роль и не стремимся стать интегратором. Для нас это принципиальная позиция, так как независимость в консалтинге — одна из главных ценностей. Как только компания начинает быть связана с конкретными продуктами, сервисами или коммерческими интересами поставщиков, возникает риск утратить объективность. Нам важно, чтобы клиент воспринимал нас не как сторону, что-то продающую, а как эксперта, способного трезво оценить ситуацию и предложить решение, исходя из интересов бизнеса, а не из собственной коммерческой модели.

В реальной работе заказчики нередко обращаются к нам за советом: кого выбрать из партнеров, какие команды привлечь, какие технологические решения или направления стоит рассмотреть, основываясь на нашем опыте. Так вокруг нас постепенно сформировался пул надежных партнеров, а точнее — профессиональное сообщество людей и организаций, с которыми мы давно знакомы и чьи ценности нам близки. В это сообщество входят сильные специалисты в области SOC, антифрода и узких технологических ниш, способные существенно усилить защиту клиента.

Однако для нас здесь ключевой принцип: мы не выстраиваем эту деятельность по агентской схеме, не даем рекомендации за вознаграждение и не извлекаем выгоду из таких советов. Это часть нашей стратегии — оставаться независимыми и не подрывать доверие рынка.

CNews: Как, по вашему мнению, регуляторные требования в России и мире влияют на развитие рынка информационной безопасности?

Евгений Бабицкий: Регуляторные нормы всегда оказывали воздействие на рынок ИБ, и во многом именно они способствовали его упорядочению и росту. Вспомним, например, период мирового финансового кризиса 2008 года: тогда ключевым стимулом для российского рынка стали требования по защите персональных данных. До этого многие компании почти не уделяли этой теме системного внимания. В целом, регулирование в сфере ИБ часто выступает как инструмент, который не только ужесточает контроль, но и задает минимальный порог зрелости для всего рынка.

При этом важно отметить, что сегодня регуляторы, с которыми мы взаимодействуем, все чаще ведут более профессиональный и взвешенный диалог с бизнесом. Требования становятся понятнее, практичнее и, что особенно важно, корректируются с учетом обратной связи от профессионального сообщества и отраслевых объединений. Поэтому я не ожидаю резких перемен в подходах к работе с клиентами. Скорее, продолжится эволюция в сторону более точной настройки норм и более зрелого взаимодействия между регулятором, консультантами и бизнесом. Это, на мой взгляд, благоприятный сценарий как для рынка, так и для клиентов.

CNews: С какими сложностями вы сталкиваетесь на рынках ИБ?

Евгений Бабицкий: Говоря о трудностях на рынке ИБ, сегодня одной из главных является осторожность клиентов при принятии инвестиционных решений на фоне нестабильной экономической ситуации. Многие компании, особенно крупные и средние, не отказываются от развития в целом, но начинают пересматривать приоритеты: в первую очередь они поддерживают текущую операционную стабильность, а запуск части новых проектов откладывают. Это, безусловно, сказывается на рынке в целом и затрагивает всю цепочку участников.

При этом я не стал бы нагнетать обстановку. Безусловно, начиная с середины 2025 года рынок ощутимо ужесточился, и это заметно. Однако такие периоды традиционно становятся не только проверкой на прочность, но и этапом естественного отбора. Для организаций, обладающих четкой стратегией, прозрачной бизнес-моделью, диверсифицированной клиентской базой и крепкой командой, это не столько угроза, сколько возможность усилить собственные позиции. Мы уже сталкивались с аналогичными циклами и в 2014 году, и в 2022-м, и отлично понимаем: в подобные моменты рынок покидают менее эффективные участники, а устойчивые компании, напротив, получают шанс стать более заметными и расширить свое присутствие.

CNews: Как бы вы охарактеризовали текущую динамику российского рынка и тенденцию к импортозамещению?

Евгений Бабицкий: Полагаю, что тренд на импортозамещение в значительной мере уже реализован. Сам процесс, разумеется, не завершится в одночасье: в наиболее регулируемых сегментах, особенно там, где высока доля государственного участия, он будет продолжаться еще довольно долго. Но если рассматривать рынок ИБ в целом, ключевой этап уже пройден. И, на мой взгляд, это большой плюс: за крайне сжатые сроки отрасль сумела мобилизовать ресурсы, пережить серьезную трансформацию и существенно укрепить собственную технологическую основу.

Да, этот процесс не обошелся без сложностей — возникали вопросы к ценовой политике, к степени зрелости отдельных продуктов, к ожиданиям заказчиков. Но параллельно происходило нечто гораздо более значимое: российские вендоры начали быстрее взрослеть, более внимательно прислушиваться к рынку и оперативно реагировать на реальные потребности клиентов. Во многих случаях заказчики получили решения, которые лучше адаптированы к их практическим задачам, чем универсальные зарубежные аналоги. Поэтому сам тренд как срочная повестка, возможно, уже во многом исчерпан, но его влияние будет ощущаться на рынке еще долго. Более того, я не исключаю, что часть этих продуктов со временем сможет найти свое место и за пределами России — именно благодаря тому, что они доказали свою эффективность в крайне требовательных условиях.

CNews: Как вы оцениваете воздействие ИИ на сферу кибербезопасности?

Евгений Бабицкий: Пока я бы оценивал влияние искусственного интеллекта на кибербезопасность достаточно осторожно. Как технология он, несомненно, перспективен, и рынок активно с ним экспериментирует, однако сегодня вокруг него слишком много шумихи и слишком мало трезвого анализа реальной применимости. Мы уже наблюдали похожие циклы с другими модными технологиями: сначала почти каждый участник начинает использовать термин как маркетинговый ярлык, а затем рынок постепенно отделяет действительно полезные сценарии от простой красивой обертки.

При этом я убежден, что ИИ обязательно найдет свою нишу в информационной безопасности. Вопрос стоит не в том, будет ли он применяться, а в том, в каких сферах он принесет реальную пользу. Для нас ключевым аспектом здесь является конфиденциальность данных: в кибербезопасности нельзя бездумно отправлять чувствительную информацию во внешние облачные сервисы, а локальное развертывание таких решений пока остается дорогостоящим. Поэтому мы относимся к ИИ без излишних ожиданий: как к полезному инструменту для решения конкретных задач, но точно не как к универсальному решению всех проблем.

CNews: Как защищены корпоративные заказчики РФ?

Евгений Бабицкий: Если рассматривать ситуацию не за один год, а на более длительном отрезке времени, то уровень защищенности корпоративного сектора в России значительно повысился. В нашей практике и по тем показателям, которые мы фиксируем в проектах, у крупных компаний уже практически исчез подход «авось пронесет». Бизнес осознает, что инциденты — это не абстрактная угроза, а реальность, к которой необходимо быть готовым. И это серьезно изменило внутреннюю культуру: кибербезопасность теперь воспринимается как вопрос управленческой ответственности, а не только как задача отдела ИБ.

Поэтому я бы сказал, что сегодня российские корпоративные заказчики в целом защищены на достаточно высоком уровне, особенно если сравнивать с тем, что было 10–15 лет назад, а также с рядом других стран. Конечно, проблемы всегда остаются, но в среднем уровень зрелости, внимания к рискам и вовлеченности внутренних команд в России сейчас очень серьезный. Это уже не история про формальное соблюдение требований, а про сформировавшуюся культуру готовности и ответственности.

CNews: Какие уязвимости ваши эксперты чаще всего обнаруживают у заказчиков?

Евгений Бабицкий: Если говорить о главных угрозах, то я бы поставил на первое место человеческий фактор. Очень многие инциденты происходят не из-за какой-то уникально сложной атаки, а из-за ошибок, невнимательности или недооценки рисков со стороны сотрудников. Иногда человек даже не хочет причинить вред, просто срабатывает та самая ситуация, когда простота оказывается хуже воровства. Поэтому, если давать один практический совет, то он будет очень приземленным: заниматься людьми, внутренней культурой и обучением команды.

Что касается типовых уязвимостей, то сегодня проблема часто не в отсутствии отдельных решений, а в том, насколько последовательно компания умеет ими пользоваться и поддерживать их в рабочем состоянии. Рынок постепенно уходит от модели «поставили систему и забыли» к непрерывной поддержке и регулярной проверке устойчивости. И это правильный сдвиг: защита сегодня — это уже не разовая закупка, а постоянная работа с процессами, сотрудниками и зрелостью внутренних команд.

CNews: Планируете ли вы увеличивать численность персонала и привлекать новых квалифицированных специалистов? Существуют ли у вас программы для стажеров? Как организовано обучение и взаимодействие с сотрудниками?

Евгений Бабицкий: Да, расширение состава команды входит в наши планы. Более того, это одна из ключевых задач, поскольку текущая рыночная ситуация позволяет нам усиливать позиции и вытеснять менее эффективных участников. При этом мы подходим к найму осознанно, не как интегратор, которому требуется быстро наращивать большие группы для внедрения, а как консультанты: для нас важны не только технические навыки, но и умение оперативно разбираться в особенностях клиента и видеть общую картину системы.

Что касается стажерских программ, то в традиционном массовом виде мы их пока не внедряем. Мы выбрали иной путь: привлекаем людей, уже имеющих базовые знания и понимание профессии, а затем обеспечиваем им стремительный рост через внутреннюю систему грейдов, базу знаний и наставничество. У нас хорошо отлажен именно трек ускоренного профессионального развития. Параллельно мы взаимодействуем с образовательной средой, сотрудничаем, в частности, с МГТУ им. Баумана, проводим лекции и участвуем в подготовке молодых кадров. Для нас обучение — это не просто формальная процедура, а часть долгосрочной стратегии: рынок расширяется, требования становятся более сложными, и сильные специалисты превращаются в главный актив.

CNews: Планируете ли вы запуск новых продуктов, решений или направлений деятельности?

Евгений Бабицкий: Да, мы намерены развивать собственные продукты, но делаем это не ради гонки за новинками, а как логичное продолжение нашей основной стратегии. Для нас главное — стать надежным партнером в сфере кибербезопасности на высочайшем уровне, работать как с бизнесом, так и с техническими командами, помогая выстраивать именно безопасность для бизнеса, а не бизнес вокруг безопасности. Поэтому Compliance Control будет расширять свой портфель сервисов и услуг всеми инструментами, которые укрепляют эту модель и помогают клиенту более эффективно решать практические задачи.

В текущих условиях мы начинаем выстраивать собственную экосистему продуктов. На основе нашего экспертного опыта и многолетней работы с нормативными требованиями постепенно появились решения, позволяющие решать конкретные задачи в области соответствия и контроля — например, Compliance App, запущенный в середине прошлого года. Это своего рода мини-GRC-система, портал для поддержки соблюдения требований различных стандартов. Он помогает специалистам по информационной безопасности и комплаенсу поддерживать соответствие на постоянной основе, а не только в периоды проверок. Для нас это ключевое направление развития: мы не стремимся стать классическим вендором, а аккуратно трансформируем накопленный опыт в полезные прикладные инструменты для рынка.

Более подробно о Compliance App, наших услугах и проектах мы рассказываем на семинарах, вебинарах, деловых встречах и других мероприятиях, которые проводятся не только в России, но и в Узбекистане, Таджикистане, Казахстане. Пользуясь моментом, хочу пригласить читателей на ежегодную международную конференцию «Финтех в безопасности», которая пройдет 16 июня в Москве. В рамках мероприятия мы рассмотрим решения и практики, нацеленные на защиту платежной инфраструктуры и поддержание соответствия бизнеса локальным и международным стандартам безопасности, представим нашу концепцию «Вселенная безопасных платежей», поделимся последними кейсами с заказчиками из разных стран, а также проанализируем киберугрозы, вызовы и технологические тренды, влияющие на развитие рынка комплаенса и информационной безопасности.