21 Мая 2026 12:16 | 21 Мая 2026 12:16 | |

Поделиться

Евгений Бабицкий, Compliance Control: Защита бизнеса через комплаенс: как минимизировать риски и ускорить рост

CNews: Верно ли, что комплаенс — это относительно новое направление информационной безопасности?

Евгений Бабицкий: Я бы не сказал, что комплаенс — это новое направление, особенно если говорить о нем в широком смысле. По сути, он существует столько, сколько существуют системы, в которых одни участники могут задавать обязательные правила для других. В кибербезопасности это тоже история не последних лет. Просто сегодня она стала заметнее, потому что для бизнеса требования к защите информации перестали быть факультативной темой. Для большинства компаний информационная безопасность все еще воспринимается как затраты, а не как источник дохода, и именно здесь комплаенс играет важную роль: он помогает не построить идеальную модель защиты, а поднять минимально необходимый уровень так, чтобы снизить риск финансовых потерь, репутационного ущерба и сбоев в работе бизнеса.

При этом комплаенс в сфере кибербезопасности — это не механическая проверка по чек-листу, а гораздо более сложная работа. Здесь всегда приходится балансировать между интересами бизнеса, который не хочет тратить лишние деньги, службы безопасности, которая стремится усилить контроль, и ИТ-блока, у которого свои задачи и ограничения. Самая безопасная система, как известно, — та, что отключена от интернета, но для бизнеса такой подход бесполезен. Поэтому задача комплаенса не «передавить» компанию требованиями, а найти рабочий баланс и поднять общий уровень зрелости до приемлемого значения. Именно в этом, на мой взгляд, и заключается его реальная ценность.

CNews: И как давно в этой сфере работает ваша компания? Рынок растет?

Евгений Бабицкий: Мы работаем в этой сфере уже почти 15 лет. За это время компания Compliance Control прошла путь от узкоспециализированного консультанта в области сертификации и аудита до масштабной практики в сфере ИБ-комплаенса, где мы не просто сопровождаем отдельные проекты, а системно работаем с требованиями и повышением зрелости защиты у клиентов. Сегодня это и сертификационные проекты, и консультирование, и комплексная работа по приведению компаний в соответствие требованиям различных стандартов. Но для нас принципиально важно, что речь идет не только о формальном compliance. Мы последовательно развиваем направления, связанные с реальной безопасностью бизнеса: экспертный консалтинг, этичный хакинг, регулярное тестирование инфраструктуры, а также проверку сервисов и цифровых продуктов клиентов на устойчивость к реальным угрозам.

Если говорить о рынке, то он, безусловно, растет, и мы это видим на практике. За последние пять лет, за исключением, пожалуй, 2022 года, мы росли темпами, которые более чем в два раза опережали динамику рынка информационной безопасности, о которой пишут профильные аналитики и отраслевые издания. Это отражается и в количестве проектов, и в выручке, и в росте команды. Такой результат для нас не случаен: в последние годы у компании сформировалась осмысленная стратегия развития, которая позволяет не просто расти, а понимать, куда именно мы движемся и как сохранять этот темп даже в непростых условиях.

CNews: Кто ваши заказчики? На каких территориях работаете?

Евгений Бабицкий: Наша стратегия в последние годы стала гораздо более сфокусированной. Мы сознательно отказались от части направлений, которые теоретически могли бы развивать, и сосредоточились на тех вертикалях, где у нас действительно сильная экспертиза: банковский сектор, финтех, финансовые сервисы, ритейл и в целом все, что связано с денежными транзакциями. При этом мы работаем не только в рамках одной юрисдикции. В таких проектах компаниям приходится учитывать сразу несколько уровней требований: международные стандарты и правила крупных систем, локальное законодательство о персональных данных, требования центральных банков и национальные нормы в области информационной безопасности.

В этом и заключается одна из наших сильных сторон. Если локальный игрок обычно хорошо знает требования только своей страны, то мы умеем сопоставлять и собирать воедино требования разных рынков. Например, компания может понимать, как выстроена работа в России, но при выходе в Казахстан, Узбекистан или другие страны ей уже нужна более сложная экспертиза: как защищаются персональные данные, как регулируются карточные данные, криптоактивы и другие чувствительные процессы в каждой конкретной юрисдикции. Именно такая международная и одновременно локально точная экспертиза дает клиентам практическую ценность и позволяет нам сопровождать проекты, где одной страны для понимания картины уже недостаточно.

CNews: Можете привести пример востребованной консалтинговой услуги или продукта?

Евгений Бабицкий: Если говорить о классических комплаенс-проектах, то это по-прежнему одна из самых востребованных услуг: в среднем такой проект у нас занимает около трех месяцев. Но если выделять не только востребованное, но и наиболее интересное для нас направление, то я бы назвал этичный хакинг. За последние годы мы серьезно инвестировали в эту практику и сегодня, по нашей оценке, входим в число сильнейших команд на российском рынке по количеству специалистов и проектов.

Особенно показателен формат, когда мы берем крупные банки на длительное сопровождение: в течение года тестируем новые релизы, сервисы и изменения, фактически постоянно проверяя систему на прочность. Параллельно у нас активно развивается экспертный консалтинг как квинтэссенция накопленного опыта. За год мы реализуем сотни проектов в десятках стран. Это дает нам очень объемное понимание того, как на практике устроен рынок. Поэтому, когда к нам приходят компании с вопросом «как сделать правильно», мы можем опираться не на теорию, а на очень широкий практический опыт.

CNews: Какие сферы/территории вы захватываете сейчас?

Евгений Бабицкий: Почти 15 лет назад мы начинали именно как нишевый комплаенс-аудитор по стандартам, применимым прежде всего к банковскому сектору. Это, по сути, наша профессиональная альма-матер, и именно здесь мы лучше всего понимаем потребности рынка, умеем решать сложные запросы и говорить с клиентом на одном языке.

При этом для нас было принципиально не распыляться и вовремя научиться говорить «нет». Стратегия зрелой компании — это не только умение видеть возможности, но и способность отказываться от того, что уводит в сторону, даже если это сулит быстрый доход. Именно за счет этого фокуса у нас появилась четкая идентичность. Мы хотим стать для выбранных вертикалей, а именно: банковский сектор, финтех, финансовые сервисы, ритейл и в целом все, что связано с денежными транзакциями надежного партнера — тем консультантом, к которому обращаются не за формальной услугой, а за пониманием, как делать правильно, где основные риски и как не допустить системных ошибок. В этом смысле нам близка роль, которую в свое время в финансовом аудите играла большая четверка, а в разработке стратегий — McKinsey или Gartner.

И здесь важно подчеркнуть: мы не интегратор. Мы не продаем клиентам софт, железо или какие-либо технологические решения, и именно это позволяет нам сохранять независимую позицию. Для нас принципиально важно оставаться консультантом, которому доверяют не потому, что он продвигает тот или иной продукт, а потому, что он способен объективно оценить ситуацию и предложить оптимальный путь. Параллельно мы развиваем партнерскую и экспертную экосистему: взаимодействуем с отраслевыми ассоциациями, участвуем в совместных исследованиях и методологиях, работаем с профессиональными сообществами в России, Узбекистане, Казахстане, Кыргызстане, Таджикистане и странах MENA. Это тоже часть стратегии: не просто оказывать услуги, а формировать вокруг себя устойчивое экспертное сообщество и укреплять доверие рынка.

CNews: Верно ли, что ваша компания оказывает исключительно консалтинговые услуги — функции интегратора вы на себя не берёте?

Евгений Бабицкий: Да, это так: мы сознательно сохраняем за собой именно консультативную роль и не хотим становиться интегратором. Для нас это принципиальная позиция, потому что независимость в консалтинге — одна из ключевых ценностей. Как только компания начинает быть связана с конкретными продуктами, сервисами или коммерческими интересами поставщиков, возникает риск потерять объективность. Нам важно, чтобы клиент воспринимал нас не как сторону, которая что-то продает, а как эксперта, который может трезво оценить ситуацию и предложить решение, исходя из интересов бизнеса, а не из собственной коммерческой модели.

При этом на практике заказчики часто просят нас что-то порекомендовать: партнеров, команды, отдельные технические решения или направления, в которых у нас есть насмотренность. Поэтому вокруг нас постепенно сложился круг доверенных партнеров, а точнее, профессиональное сообщество людей и команд, с которыми мы хорошо знакомы и чьи подходы разделяем. Среди них есть сильные игроки в SOC, антифроде, в специализированных технологических направлениях, которые могут повысить уровень безопасности клиента.

Но здесь для нас важен принцип: мы не строим эту работу как агентскую модель, не рекомендуем никого за комиссию и не зарабатываем на таких рекомендациях. Это тоже часть нашей стратегии — сохранить независимость и не размывать доверие рынка.

CNews: Как, на ваш взгляд, на развитие рынка ИБ влияют регуляторные требования в России и мире?

Евгений Бабицкий: Регуляторные требования влияли на рынок ИБ всегда, и во многом именно они помогали ему структурироваться и расти. Если вспомнить, например, период мирового финансового кризиса 2008 года, то тогда серьезным драйвером для рынка РФ стали требования по защите персональных данных. До этого многие компании этой темой системно почти не занимались. В целом, регуляторика в сфере ИБ часто играет роль механизма, который не просто усиливает контроль, а задает минимально необходимый уровень зрелости для всего рынка.

При этом важно, что сегодня регуляторы, с которыми мы сталкиваемся, все чаще выстраивают более профессиональный и сбалансированный диалог с бизнесом. Требования становятся более прозрачными, более практичными и, что особенно важно, дорабатываются с учетом обратной связи от профессионального сообщества и отраслевых ассоциаций. Поэтому я не думаю, что нас ждут какие-то резкие изменения в подходах к работе с клиентами. Скорее, будет продолжаться эволюция в сторону более тонкой настройки требований и более зрелого взаимодействия между регулятором, консультантами и бизнесом. Это, на мой взгляд, позитивный сценарий и для рынка, и для клиентов.

CNews: Какие трудности отмечаете на рынках ИБ?

Евгений Бабицкий: Если говорить о трудностях на рынке ИБ, то сегодня одна из главных связана с осторожностью клиентов в инвестиционных решениях на фоне слабо прогнозируемой экономической ситуации. Многие компании, особенно крупные и средние, не отказываются от развития как такового, но начинают пересматривать приоритеты: в первую очередь поддерживают текущую операционную устойчивость, а запуск части новых инициатив переносят. Это, безусловно, влияет на рынок в целом и отражается на всей цепочке игроков.

При этом я бы не драматизировал ситуацию. Да, с середины 2025 года рынок стал заметно более напряженным, и это чувствуется. Но такие периоды всегда становятся не только испытанием, но и этапом естественного отбора. Для компаний, у которых есть стратегия, понятная бизнес-модель, диверсифицированная база и сильная команда, это не только риск, но и возможность укрепить свои позиции. Мы сами проходили через похожие циклы и в 2014 году, и в 2022-м, и хорошо понимаем: в такие моменты рынок покидают менее эффективные игроки, а сильные компании, наоборот, получают шанс стать заметнее и занять больше пространства.

CNews: Как вы оцениваете динамику российского рынка и тренд на импортозамещение?

Евгений Бабицкий: Я думаю, что тренд на импортозамещение в значительной степени уже отыгран. Сам процесс, безусловно, не завершится мгновенно: в более зарегулированных сегментах, особенно там, где велика доля государства, он еще будет сохраняться достаточно долго. Но если смотреть шире на рынок ИБ, то ключевой этап уже пройден. И, на мой взгляд, в этом есть большой плюс: за очень короткое время отрасль смогла мобилизовать ресурсы, пройти через серьезную перестройку и заметно усилить собственную технологическую базу.

Да, этот процесс шел не без шероховатостей, были вопросы к ценовой политике, к зрелости отдельных решений, к ожиданиям заказчиков. Но параллельно происходило гораздо более важное: российские вендоры начали быстрее взрослеть, внимательнее слушать рынок и реагировать на реальные запросы клиентов. Во многих случаях заказчики получили продукты, которые лучше адаптированы к их практическим задачам, чем универсальные зарубежные решения. Поэтому сам тренд, как экстренная повестка, возможно, уже во многом позади, но его эффект еще долго будет работать на рынок. Более того, я не исключаю, что часть этих решений со временем сможет занять свое место и за пределами России — именно потому, что они показали свою эффективность в очень требовательной среде.

CNews: Как вы оцениваете влияние ИИ на обеспечение кибербезопасности?

Евгений Бабицкий: Пока я бы оценивал влияние ИИ на кибербезопасность достаточно сдержанно. Как технология он, безусловно, перспективен, и рынок активно с ним экспериментирует, но сегодня вокруг него слишком много хайпа и слишком мало трезвой оценки реальной применимости. Мы уже видели похожие циклы с другими модными технологиями: сначала почти каждый игрок начинает использовать термин как маркетинговую надстройку, а затем рынок постепенно отделяет действительно полезные сценарии от просто красивой упаковки.

При этом я уверен, что свое место в ИБ ИИ займет. Вопрос не в том, будет ли он использоваться, а в том, где именно он действительно даст ценность. Для нас здесь особенно важен вопрос конфиденциальности данных: в сфере кибербезопасности нельзя без оглядки передавать чувствительную информацию во внешние облачные сервисы, а локальное внедрение таких решений пока остается дорогим. Поэтому мы смотрим на ИИ без иллюзий: как на полезный инструмент для отдельных задач, но точно не как на универсальную волшебную таблетку.

CNews: Как защищены корпоративные заказчики РФ?

Евгений Бабицкий: Если оценивать ситуацию не в пределах одного года, а на более продолжительном этапе, то уровень защищенности корпоративного сектора в России заметно вырос. В нашей практике и по тем метрикам, которые мы видим в проектах, у крупных компаний уже почти исчез подход «как-нибудь обойдется». Бизнес понимает, что инциденты — это не абстрактный риск, а реальность, к которой нужно быть готовым. И это сильно повлияло на внутреннюю культуру: тема кибербезопасности стала восприниматься как вопрос управленческой ответственности, а не только как задача ИБ-подразделения.

Поэтому я бы сказал, что сегодня российские корпоративные заказчики в целом защищены на достаточно высоком уровне, особенно если сравнивать и с тем, что было 10–15 лет назад, и с рядом других стран. Конечно, проблемы остаются всегда, но в среднем уровень зрелости, внимания к рискам и вовлеченности внутренних команд в России сейчас очень серьезный. Это уже не история про формальное выполнение требований, а про сформировавшуюся культуру готовности и ответственности.

Краткая биография

Евгений Бабицкий

• Окончил НИЯУ МИФИ по специальности «Комплексное обеспечение информационной безопасности автоматизированных систем».
• Работал техническим директором крупного системного интегратора, является основателем и идеологом ряда успешных международных компаний в сфере информационной безопасности.
• Один из первых QSA-аудиторов в России, эксперт в области информационной безопасности финансовой сферы.
• Сооснователь Compliance Control.
• Признанный спикер международных конференций и действующий преподаватель по направлениям информационной безопасности в ведущих вузах России и СНГ.

подробнее

CNews: Какие уязвимости ваши эксперты чаще всего обнаруживают у заказчиков?

Евгений Бабицкий: Если говорить о главных угрозах, то я бы поставил на первое место человеческий фактор. Очень многие инциденты происходят не из-за какой-то уникально сложной атаки, а из-за ошибок, невнимательности или недооценки рисков со стороны сотрудников. Иногда человек даже не хочет причинить вред, просто срабатывает та самая ситуация, когда простота оказывается хуже воровства. Поэтому, если давать один практический совет, то он будет очень приземленным: заниматься людьми, внутренней культурой и обучением команды.

Что касается типовых уязвимостей, то сегодня проблема часто не в отсутствии отдельных решений, а в том, насколько последовательно компания умеет ими пользоваться и поддерживать их в рабочем состоянии. Рынок постепенно уходит от модели «поставили систему и забыли» к непрерывной поддержке и регулярной проверке устойчивости. И это правильный сдвиг: защита сегодня — это уже не разовая закупка, а постоянная работа с процессами, сотрудниками и зрелостью внутренних команд.

CNews: Предусматриваете ли расширение штата и привлечение дополнительных квалифицированных кадров? Есть ли у вас стажерские программы? Как вы учите людей и работаете с ними?

Евгений Бабицкий: Да, расширение команды мы предусматриваем. Более того, для нас это одна из важных задач, потому что в текущей ситуации рынок дает возможность усиливаться и занимать место менее эффективных игроков. При этом мы сознательно подходим к найму не как интегратор, которому нужно быстро масштабировать большие команды под внедрение, а как консультанты: нам важны не только технические знания, но и способность быстро вникать в специфику клиента, понимать систему в целом.

Если говорить о стажерских программах, то в классическом массовом формате мы их пока не запускаем. Мы для себя выбрали другой подход: ищем людей уже с минимальной базой и пониманием профессии, а дальше даем им быстрый рост через внутреннюю систему грейдов, базу знаний и наставничество. У нас хорошо выстроен именно трек ускоренного профессионального развития. Параллельно мы работаем с образовательной средой и сотрудничаем, в частности, с МГТУ им. Баумана, читаем лекции, участвуем в подготовке молодых специалистов. Для нас обучение — это не формальная функция, а часть долгосрочной стратегии: рынок растет, требования усложняются, и сильные кадры здесь становятся ключевым активом.

CNews: Планируете ли вы запуск продуктов и решений/новых направлений?

Евгений Бабицкий: Да, мы планируем развивать собственные решения, но делаем это не ради продуктовой гонки как таковой, а как продолжение нашей основной стратегии. Для нас приоритет — стать надежным партнером по кибербезопасности на самом высоком уровне, работать и с бизнесом, и с техническими командами, помогая выстраивать именно безопасность для бизнеса, а не бизнес вокруг безопасности. Поэтому Compliance Control будет расширять портфель сервисов и услуг всеми инструментами, которые усиливают эту модель и помогают клиенту эффективнее решать практические задачи.

На этом фоне у нас уже начинает формироваться собственная продуктовая экосистема. Из нашей экспертной практики и многолетней работы с регуляторными требованиями постепенно выросли решения, которые помогают закрывать конкретные задачи соответствия и контроля — Compliance App, который мы запустили в середине прошлого года. Это своего рода мини-GRC-система, портал поддержки соответствия требованиям различных стандартов. Он помогает ИБ- и комплаенс-специалистам поддерживать соответствие на постоянной основе, а не только в момент проверки. Для нас это важное направление развития: не уходить в роль вендора, а аккуратно превращать накопленную экспертизу в полезные прикладные инструменты для рынка.

Подробнее о Compliance App, наших услугах и проектах мы рассказываем в рамках семинаров, вебинаров, бизнес-встреч и других мероприятий, которые проходят не только на территории РФ, но и в Узбекистане, Таджикистане, Казахстане. Пользуясь случаем, хочу пригласить читателей на ежегодную международную конференцию «Финтех в безопасности», которая состоится 16 июня в Москве. В рамках мероприятия мы обсудим решения и практики, направленные на защиту платёжной инфраструктуры и поддержание соответствия бизнеса локальным и международным стандартам безопасности, представим нашу концепцию «Вселенная безопасных платежей», расскажем о последних кейсах с заказчиками из разных стран и проанализируем киберугрозы, вызовы и технологические тренды, влияющие на развитие рынка комплаенса и информационной безопасности.

Поделиться

Короткая ссылка