Привет! Текст подготовлен на основе выступления Александра Сербула, руководителя больших данных, высоконагруженных систем и машинного обучения, «1С-Битрикс» на форуме ITSEC 2025.

Работая с самыми разными заказчиками, в разных компаниях и на разных должностях, я видел массу нарушений ИБ. Например, новый сотрудник подписывает NDA, но при этом сервера в компании не обновляются годами, а разработчики используют права root-пользователя. Безопасник не может оценить написанный код, потому что не знает языка программирования. И это не говоря уже о типичном отсутствии антивируса на рабочих местах, отсутствии ротации паролей и двухфакторной авторизации. 

В этой статье я расскажу о том, как мы видим безопасность изнутри проекта, какие шаги предпринимаем при быстрой разработке — мы выпускаем два релиза в год, каждый проект запускается за 3-5 месяцев, поэтому у нас нет времени на проектирование, написание и согласование ТЗ. И на долгие проверки кода безопасниками времени тоже нет. Тем не менее, нам удается поддерживать высокое качество и безопасность проектов и мы поделимся своими секретами в статье.

Рассказывать буду на примере продукта, в создании которого я принимал непосредственное участие и как архитектор, и как разработчик. Это BI-конструктор, популярный продукт в Битрикс24, доступный десяткам тысяч коммерческих компаний. 

Для начала расскажу о самых частых проблемах безопасности, приведу примеры решений и покажу роль контейнеров в них.

Проблема 1: ИБ отстает от разработки 

На коротких проектах или в стартапах разработчики пишут код очень быстро и используют максимум готовых решений. Но ИБ-специалисту требуются недели, чтобы этот код проверить. Специалист по безопасности может не знать языка программирования, на котором написан код или в принципе не готов изучать новые технологии, например, Kubernetes. Парадоксальный пример — я пишу в основном на Rust, это хороший язык, он позволяет безопасно работать с памятью. Но в ИБ его знают единицы. А разработчики в результате сталкиваются с ситуациями, когда безопасник обращается к нейронным сетям за помощью в проверке незнакомого кода. 

Привет! Снова подготовили для вас материал от Романа Стрельникова, руководителя направления по информационной безопасности 1С‑Битрикс. Сегодня поговорим про offensive security. Вокруг темы много споров — стоит ли контролировать подрядчиков, что выбрать — пентест или баг баунти, как определить квалификацию команды хакеров. В этом материале расскажу про наш подход к «наступательной безопасности» и дам пару советов о том, как получить максимум выгоды из работы с «этичными хакерами».

Привет! Делимся с вами материалом, подготовленным Романом Стрельниковым — руководителем направления информационной безопасности в Битрикс24. Роман — тот самый человек, который контролирует все и даже аппрувит статьи в этот блог, чтобы ни капли конфиденциальной информации не утекло из компании. 

Как видите, у нас безопасность под контролем человека. Даже несмотря на огромное количество ИИ-решений в сфере защиты информации. Мы понимаем, что ИИ становится полноценным игроком и в этой области. Причём сразу в двух командах: атакующих и защищающихся. Он учится, ошибается, адаптируется и совершенствуется. 

И если злоумышленники могут доверить атаку искусственному интеллекту, то что происходит на стороне защиты? Раньше мы всегда знали, что каковы бы ни были технические причины сбоя, падения сервера или проникновения в систему, ответственность всегда на сотруднике. В реальности, где решение принимает обученная модель, вопрос меняется: а кто виноват, если ошибся ИИ?

Это наша новая реальность. Добро пожаловать в очередную технологическую гонку.

BI-инструменты считаются дорогими и сложными решениями, требующими долгого внедрения, многочисленных интеграций и непременного преодоления сопротивления со стороны пользователей. Кажется, что на такое может решиться только крупная компания, которой жизненно необходимо упростить анализ данных и оптимизировать множество процессов. 

На самом деле необходимость в понятных аналитических решениях возникает и у средних, а иногда и небольших компаний, поэтому сейчас появляются самые разные по сложности и функциональности BI-системы. О том, как вообще понять, пора ли от эксель-таблиц переходить на BI и какие задачи можно решать с помощью таких инструментов, рассказал Директор продуктовой аналитики Битрикс24 Илья Стрелков.

Зачем компаниями нужна аналитика

Точные цифры — это наш контакт с реальностью. Правильное управление бизнесом основано на понятных метриках и на оценке ключевых факторов, влияющих на эффективность. Полагаться в бизнесе на субъективные ощущения невозможно, органы чувств здесь заменяют систематизированные и наглядно представленные данные о работе всей компании и ее отдельных подразделений. 

Аналитические системы позволяют в разы сократить обработку и подготовку данных  для дальнейшего анализа. Для анализа эффективности бизнес-процессов часто приходится объединять данные из разных систем. Например, для оценки рекламной кампании придется сопоставить данные из рекламного кабинета и CRM. Для товарной аналитики — данные из ERP, CRM и складских систем. 

Вручную, в электронных таблицах, это действительно долго. А BI-системы умеют объединять данные из разных источников, фильтровать, сортировать, делать выборки по сложным условиям, анализировать по множеству факторов и показывать данные в динамике. В результате пользователи — руководства компании и отделов, специалисты — получают наглядный дэшборд с понятными графиками и диаграммами. Именно с той информацией, которая помогает принять нужные решения. 

Мы поддерживаем кастомизацию наших продуктов и всячески помогаем в этом разработчикам: у нас есть курсы, гайды, маркетплейс решений и т.д. При этом мы выступаем за безопасность и правильный подход, за то, чтобы предусмотреть все риски и постараться избежать их. Непродуманная кастомизация вызывает массу проблем. Это и конфликты версий, и нестабильная работа продукта, и дыры в безопасности. В результате мы, например, наблюдаем волну взломов сайтов, владельцы которых не обновили вовремя модули сторонних разработчиков — хакеры массово эксплуатируют одни и те же уязвимости, хотя сами разработчики уже давно обновили свои модули и выпустили патчеры для более старых версий. Но халатность владельцев приводит к таким результатам. 

В случае утечки данных отвечает не только бизнес — деньгами и репутацией, но и непосредственно администраторы сайта, по закону N 152-ФЗ «О персональных данных» (статья 19). С 30 мая 2025 года, штраф для них за утечку персональных данных составит от 200 тыс. до 400 тыс. рублей (Федеральный закон от 30.11.2024 N 420-ФЗ).

Мы собрали чек-лист и рекомендации для безопасной кастомизации коробочных решений. Он поможет правильно кастомизировать продукты 1С-Битрикс:

Привет! Меня зовут Наталья Грихина, я руковожу отделом стратегического UX-контента Битрикс24. В этой статье расскажу о том, как мы в компании понимаем роль и задачи UX-писателя и поделюсь рекомендациями для тех, кто хочет освоить эту специальность.

Попадание внутренней корпоративной информации в чужие руки — страшный сон для любого бизнеса. Последствия таких инцидентов могут быть непредсказуемыми, от утечек данных клиентов и сопутствующих штрафов до потери доверия со стороны партнеров и полной остановки операционной деятельности компании.

Евгений Петриченко пришел в Битрикс24 студентом. За 16 лет в компании он прошел путь от специалиста техподдержки до эксперта по мобильной разработке. И ни разу не думал сменить место работы. 

Евгений Шеленков — руководитель Университета Битрикс24 и тимлид команды «Коммуникации в реальном времени». В компании он с 2010 года — и до сих пор относится к работе как к любимому хобби

В 2012 году мы запустили первую версию сервиса «Битрикс24», который с тех пор успешно растёт и развивается. Сегодня его надежную работу обеспечивает обширная инфраструктура, разбросанная по 17 дата-центрам по всему миру. Наши команды регулярно проводят митапы, на которых делятся друг с другом всевозможными знаниями и накопленным опытом. О многом из этого будет интересно почитать и вам, поэтому мы подготовили цикл статей об истории развития нашего сервиса.

Решения для больших компаний обычно должны выдерживать высокие нагрузки. 

Когда в штате много десятков тысяч человек, и значительная доля из них ежедневно пользуются какими-либо приложениями и системами, эти продукты становятся критически важными для компании. К ним предъявляются высокие требования по производительности и отказоустойчивости. В том числе и при пиковых нагрузках. С переходом на удалённую работу количество и важность подобных систем лишь возросли. 

Недавно мы вместе с Selectel провели нагрузочное тестирование корпоративного интранет-портала «1С-Битрикс24» в редакции Энтерпрайз. Хотим рассказать, как мы это делали и какие получили результаты.