Сначала ушли вендоры, потом замолчали глобальные SOC, затем закрылись внешние Threat Intelligence‑фиды, остановились обновления и техподдержка продуктов, на которых годами стояла защита европейского банка в России. Мы остались с инфраструктурой, спроектированной под одну реальность, и обязательством выжить в другой.
Сейчас я могу сказать: это был не только кризис. Это был самый жёсткий, но самый полезный курс зрелости, который я проходил как директор по информационной безопасности.

Когда «удобство» оказалось иллюзией контроля

Пока у тебя есть глобальный SOC где‑нибудь в Вене, удобно думать, что всё под контролем:

• сильная аналитика 24/7,
• глобальные плейбуки,
• лучшие практики, «привезённые» из десятков стран.

Но когда этот SOC исчезает за одну политическую линию, становится понятно:

• ты видел данные, но через чужой контекст;
• ты получал рекомендации, но не всегда понимал, почему именно такие;
• ты доверял системе, в которую не мог заглянуть до конца.

Вынужденная самостоятельность означала:

• строим собственный SOC;
• пишем свои цепочки мониторинга и реагирования под наш стек и наш ландшафт угроз;
• собираем свою Threat Intelligence — не подписку из глобального облака, а живое понимание того, кто атакует именно нас и за чем.

Это было:

• больно — потому что пришлось признать, что часть контроля была «арендованной»;
• дорого — потому что потребовалось быстрое импортозамещение и переучивание команд;
• медленно — потому что время сжималось, а задачи росли.

Но сегодня я вижу несопоставимую разницу:

• система, которой мы управляем сами,
• без «слепых зон» за чужой экспертизой,
• с архитектурой, понятной до последнего узла.

Ограничения легко воспринимать как препятствие.
Мы выбрали другой взгляд: как на дизайн‑задачу.

Формулировка была простой и жесткой:
Построить полноценную систему ИБ крупного банка,
когда привычные инструменты недоступны,
глобальная экспертиза отрезана,
а требования ЦБ РФ и по ИБ, и по импортозамещению никто не отменял.

Ответ родился в три шага:
1. Радикальная инвентаризация

• какие решения у нас есть;
• какие из них живут без внешней поддержки;
• что требует немедленной замены;
• где технологии можно временно компенсировать процессами.

2. Переосмысление архитектуры

• периметр больше не глобальный, значит, нужна локальная глубина;
• микросегментация, резервирование, отсутствие единой точки отказа — и технологической, и вендорской.

3. Культура — самое сложное и самое важное

• уйти от мысли «за безопасность отвечает кто‑то другой»;
• вернуть ответственность вовнутрь, на уровень команд и людей.

Пока глобальный вендор делает мониторинг и реагирование, сотрудники привыкают:
«Где‑то там есть люди, которые всё видят и всё решат».
Это скрытый риск, который не отражён ни в одном SLA.
Когда внешнего вендора нет, становится очевидно:

• безопасность — не отдельная функция,
• это часть ежедневной работы каждого.

Мы сознательно поменяли рамку:

• сотрудник — не «потенциальная жертва фишинга»,
• сотрудник — первый сенсор, наблюдатель,
• человек, который видит аномалию в своём контексте раньше, чем SIEM, потому что лучше понимает норму.

Это потребовало:

• убрать страх «за ошибку»;
• показать ценность наблюдения;
• сделать так, чтобы сообщение о подозрительном письме воспринималось не как донос, а как вклад в общую устойчивость.

Когда люди начинают писать: «Мне это кажется странным, посмотрите»,
— культура безопасности перестаёт быть набором правил.
Она становится коллективной практикой.

«Остров стабильности» как школа выживания
Райффайзенбанк в России не раз называли «островом стабильности» — банк, который в условиях санкций остаётся критически важным для расчётов между Россией и Европой, особенно в энергетике.

Но «остров стабильности» — это не просто:

• место, где всё ещё работают;
• это место, где выработана экспертиза выживания.

Что это значит на практике:

• каждый контур защиты закрыт самостоятельно, потому что нельзя иначе;
• нет иллюзий про внешнюю поддержку — и поэтому внутренняя система доведена до зрелости;
• опыт построения локального SOC, собственной TI, импортозамещённых стеков уже пройден, пока другие только начинают.

Для нас это не было стратегическим выбором — это была необходимость.
Но результат стал конкурентным преимуществом:

• то, что мы обязаны были сделать,
• сегодня превращается в знания, которые нужны другим.

От вынужденного суверенитета к осознанному
Важно различать два состояния:

1. Вынужденный технологический суверенитет

• когда локальные решения выбираются потому, что других нет;
• когда закрытие контуров — реакция на внешнее давление.

2. Осознанный технологический суверенитет

• когда локальные решения выбираются, потому что мы понимаем их архитектуру;
• можем контролировать развитие;
• берём на себя полную ответственность за работу.

Мы прошли путь от первого ко второму:

• сначала — закрывали всё, чтобы просто продолжать работать;
• затем — начали строить архитектуру так, как если бы этот выбор мы сделали сами, без санкций.

Позиция меняется:

• из «нас вынудили»
• в «мы выбираем контролируемые технологии, потому что это рационально».

Это позиция архитектора, а не пассивного потребителя.

МАКОРРАТ: где экспертиза становится доступной
В распределённой сети МАКОРРАТ один из ключевых вызовов — культура безопасности:

• сотни микрокультур по городам и отраслям;
• разный уровень зрелости;
• разное представление о рисках.

Невозможно «влить» единую культуру через инструкции или централизованный регламент.
Её можно только передавать:

• личным присутствием;
• живым диалогом;
• совместными разборками реальных кейсов.

МАКОРРАТ в этой логике — узел, где:

• накопленная экспертиза
• превращается в общий ресурс,
• доступный брендам и проектам, которые только проходят тот путь, что мы уже прошли.

Стабильность как глагол
Про нас часто говорят: «у вас стабильная система».
Я всегда уточняю: стабильная — это не характеристика, а процесс.

Стабильность — это:

• каждое принятое в пользу устойчивости решение;
• каждый инцидент, который мы поймали на ранней стадии;
• каждый сотрудник, который сообщил про странное письмо;
• каждый раз, когда мы выбрали архитектурно сложный путь вместо удобного, но хрупкого.

Остров стабильности не «дан» раз и навсегда.
Его поддерживают — каждый день.