В обсуждении приняли участие:
- Дмитрий Грудинин, владелец линейки продуктов Avanpost Access, компания Avanpost,
- Андрей Лаптев, директор департамента продуктового развития, компания «Индид»,
- Василий Огнев, директор по продукту (CPO), компания MFASOFT,
- Михаил Ванин, генеральный директор, компания Identity Blitz,
- Алексей Хмельницкий, генеральный директор, компания RooX.
Модератором встречи выступил Андрей Тархов, директор по специальным проектам, Компания «Актив».
Участники сошлись во мнении, что в реальных ИТ-ландшафтах процесс формирования доверия остается фрагментированным: разные системы, протоколы и команды поддерживают разрозненные контуры, что требует централизующей роли Access Management как слоя оркестрации.
При этом было отмечено, что даже при наличии такого слоя архитектура не достигает заявленных целей, если в ее основе остаются парольные методы, являющиеся причиной 35% успешных атак в 2024 и 2025 годах. Это переносит в Zero Trust критические уязвимости и фактически обнуляет эффект от остальных мер. Консенсус участников — переход к строгой аутентификации является необходимым условием, а не опциональным улучшением.
Отдельно зафиксировано различие между доверием к устройству и доверием к пользователю: встроенные механизмы, такие как TPM, решают задачу доверенной среды, но не могут выступать самостоятельным фактором пользователя. Эту роль выполняют только отчуждаемые криптографические носители, обеспечивающие переносимость, управляемость и контроль жизненного цикла ключей.
В качестве следующего уровня зрелости обсуждалось расширение модели за счет контроля контекста и подтверждения действий: биометрия и «touch-подтверждение» рассматриваются как способ гарантировать не только факт аутентификации, но и осознанное участие пользователя в операции, снижая риски передачи доступа и фоновых злоупотреблений.
В завершение дискуссии участники отдельно рассмотрели влияние такой архитектуры на практическую эксплуатацию. Было отмечено, что переход к строгой аутентификации меняет пользовательский опыт скорее в сторону упрощения (отказ от паролей, снижение блокировок), одновременно требуя продуманной реализации fallback-сценариев. Отдельное внимание уделено оптимизации операционного уровня — централизации управления, снижению нагрузки на поддержку и повышению управляемости. Также подробно обсуждался экономический аспект: структура TCO (носители, лицензии, внедрение, сопровождение) и факторы ROI, включая сокращение инцидентов, снижение затрат на поддержку и минимизацию простоев.