В 2025 году в Узбекистане было предотвращено более 107 млн киберугроз — в 15 раз больше, чем годом ранее. На 2026-й прогнозируется свыше 200 млн атак (источник: Минцифры РУз). Темп роста угроз опережает скорость обновления средств защиты в большинстве организаций — особенно тех, где управление доступом до сих пор строится на классических VPN-решениях. При этом основная уязвимость — не в недостатке технологий, а в самой архитектуре управления доступом, которая не успевает покрыть новые векторы кибератак.
Количество точек входа в корпоративную сеть средней компании за последние годы выросло кратно: подрядчики с доступом к внутренним системам, сотрудники филиалов, интеграции с внешними сервисами, личные устройства. При этом основной инструмент для организации удалённого подключения остаётся прежним — VPN.
Почему классический VPN больше не защищает
VPN решает ровно одну задачу: создать зашифрованный туннель между устройством и сетью. Он не проверяет, кто именно использует подключение, не ограничивает, что этот человек может делать внутри сети, и не фиксирует, к чему он обращался.
Когда к корпоративной сети извне подключались один-два сотрудника в командировке — этого было достаточно. Но сегодня через тот же VPN работают десятки подрядчиков, сотрудники филиалов, внешние интеграции. Серверы по-прежнему стоят в локальном ЦОДе, но количество и разнообразие точек подключения к ним изменились кардинально. А VPN по-прежнему работает по принципу «подключился — получил доступ ко всему».
Это создаёт три конкретных риска:
- Отсутствие сегментации. Пользователь, получивший VPN-доступ, видит всю сеть. Если его учётные данные скомпрометированы — злоумышленник тоже видит всю сеть.
- Отсутствие контекста. VPN не проверяет, с какого устройства идёт подключение, обновлена ли ОС, установлены ли средства защиты. Подключение с необновлённого личного ноутбука и с контролируемой корпоративной рабочей станции для VPN выглядят одинаково.
- Отсутствие аудита. Кто к чему обращался, когда и зачем — на эти вопросы VPN ответа не даёт. Именно эти данные — журналы доступа с указанием даты, ID пользователя, IP-адреса — требуются при проверках со стороны регуляторов.
Есть и четвёртая проблема, о которой говорят реже: многие компании до сих пор используют устаревшие, нелицензионные решения для организации доступа — без актуальных обновлений безопасности, без поддержки вендора и без гарантий соответствия современным требованиям. Это не только техническая уязвимость, но и юридический риск.
Что такое Zero Trust и почему это не маркетинговый термин
Zero Trust — это не продукт и не технология. Это архитектурный принцип построения системы безопасности, при котором доступ к любому корпоративному ресурсу — приложению, серверу, базе данных — требует явной проверки при каждом подключении. Ни пользователь, ни устройство, ни сетевой сегмент не получают доверия автоматически — даже внутри корпоративной сети. Каждый запрос на доступ проверяется: кто подключается, с какого устройства, к какому ресурсу и имеет ли он на это право.
На практике это означает несколько вещей:
- Идентификация вместо периметра. Доступ определяется не тем, откуда идёт подключение, а тем, кто подключается и что ему нужно.
- Минимальные привилегии. Пользователь видит только те системы, которые ему необходимы для работы, и ни одну больше.
- Непрерывная проверка. Система оценивает контекст (устройство, локацию, поведение) и может отозвать доступ в любой момент, если что-то изменилось.
- Полная видимость. Каждое действие логируется: кто, куда, когда, с какого устройства.
Это не теоретическая концепция. Google начал переход на эту модель после кибератаки 2009 года (Operation Aurora), когда злоумышленники получили доступ к внутренним системам через целевой фишинг. Результат — архитектура BeyondCorp, в которой нет разделения на «внутреннюю» и «внешнюю» сеть: каждый запрос проверяется одинаково, откуда бы он ни шёл.
Что это значит для Узбекистана
Для рынка Узбекистана вопрос перехода на новые модели управления доступом перестаёт быть теоретическим. Причина — регуляторные требования, которые формируются сразу на трёх уровнях:
- Закон «О кибербезопасности» (ЗРУ-764 от 15.04.2022) определяет базовые принципы, включая приоритет отечественных производителей в создании систем кибербезопасности (статья 8) и обязанность использовать сертифицированные средства защиты.
- Постановление о защите критической информационной инфраструктуры (КИИ) (ПП-167 от 31.05.2023) распространяет требования на телеком, энергетику, транспорт и госсектор. Все средства защиты на объектах КИИ должны иметь сертификаты соответствия, а ответственные за кибербезопасность проходят аттестацию каждые три года.
- Отраслевые требования Центрального Банка Узбекистана к банковскому сектору — наиболее детализированный уровень — требуют централизованного управления доступом, многофакторной аутентификации, журналирования всех действий с указанием даты, ID и IP-адреса, а также контроля привилегированного доступа.
Все эти требования объединяет одно: то, что традиционный VPN дать не может — видимость, контроль и доказательную базу.
Для регулируемых отраслей критичен вопрос суверенитета: где физически обрабатывается трафик и хранятся данные. Международные Zero Trust платформы — Zscaler, Cloudflare — не имеют точек присутствия в Узбекистане и маршрутизируют трафик через зарубежные ЦОДы. В контексте требований ЗРУ-764 (приоритет отечественных решений, ст. 8), ПП-167 (обязательная сертификация средств защиты КИИ) и Положения ЦБ №19/1 (размещение информационных активов в ЦОД банка, п.133) — использование таких платформ в регулируемых сегментах сопряжено с существенными compliance-рисками.
С чего начать
Переход на Zero Trust не требует одномоментной замены всей инфраструктуры. Практический путь — поэтапное движение:
- Аудит текущей ситуации. Сколько людей имеют доступ к корпоративным системам, через какие каналы, с каким уровнем контроля и журналирования. Результаты такого аудита наглядно показывают масштаб незащищённых точек доступа.
- Внедрение единой точки аутентификации (SSO) и многофакторной аутентификации для критичных систем.
- Замена классического VPN на архитектуру, где каждый пользователь видит только те ресурсы, которые ему положены, а каждое подключение фиксируется.
Важно понимать: переход на Zero Trust не обязательно означает большие затраты. Современные open-source решения позволяют построить полноценную систему управления доступом по модели Zero Trust — единую аутентификацию, шифрованные каналы связи, мониторинг конечных точек и контроль привилегированных сессий — с нулевыми лицензионными отчислениями. Вопрос не в стоимости технологий, а в экспертизе для их правильной интеграции и эксплуатации.
Вместо заключения
Рост числа кибератак, ужесточение регуляторных требований и расширение поверхности атаки — три фактора, которые делают пересмотр подхода к управлению доступом неизбежным. Zero Trust — это ответ на конкретную проблему: как обеспечить видимость, контроль и соответствие требованиям, когда границу сети провести однозначно невозможно. Серверы стоят в ЦОДе, но к ним подключаются подрядчики, сотрудники с личных устройств и внешние системы через API.
Мы в UzCloud строим суверенную Zero Trust платформу для узбекского рынка. В следующих материалах расскажем о конкретных архитектурных решениях и о том, как подготовиться к регуляторным требованиям.