Долгое время для защиты соот хакерских атак компаниям достаточно было штатных специалистов по информационной безопасности (ИБ). Однако последние годы количество кибератак увеличивается, а их технический уровень растет. Противостоять этим угрозам самостоятельно становится все сложнее. Выделить дополнительный бюджет на расширение штата или закупку более сложного оборудования иногда просто невозможно. В этом случае есть альтернатива – отдать вопросы комплексного обеспечения информационной безопасности на аутсорсинг поставщику сервисов ИБ, который может предоставить и профессиональную экспертизу, и необходимую техническую базу для защиты от хакеров. Но как доверить свою ИБ-защиту сторонней организации? Как контролировать сервис-провайдера, и на ком лежит ответственность за возможные потери в случае успешной атаки? Эти и множество других вопросов не дают некоторым компаниям решиться на сервисный подход в ИБ. Насколько они обоснованы – разбираемся вместе со специалистами «Ростелеком-Солар».
Для начала определимся, почему вообще возникла потребность в сервисной модели киберзащиты. Итак, если вы реализуете ИБ-проект своими силами, то должны закупить оборудование, установить его на свою инфраструктуру и обслуживать. Последнее ложится на плечи внутренней ИТ- или ИБ-службы, а значит, требуется либо расширять штат сотрудников, либо нагружать уже имеющихся специалистов дополнительными и очень сложными обязанностями.
При сервисной модели нужно просто оплатить подписку – дальнейшие контроль и управление всеми ИБ-процессами выполняют сотрудники сервис-провайдера. Закупка сложного и дорогостоящего оборудования, как в первом варианте, при этом не требуется, ведь все услуги предоставляются из облака. А площадки заказчика обмениваются данными с дата-центром провайдера, где эти данные обрабатываются и фильтруются в соответствии с выбранным сервисом. По такому принципу, в частности, работают сервисы Solar MSS компании «Ростелеком-Солар». Сегодня крупные сервис-провайдеры закрывают практически весь стек ИТ, предлагая сервисы защиты от сетевых угроз (UTM) и DDoS-атак (anti-DDoS), защиту почты (SEG) и веб-приложений (WAF), шифрование каналов связи (ГОСТ VPN) и решения для защищенной удаленной работы, услуги по управлению навыками ИБ (SA) и контролю уязвимостей действующей инфраструктуры (VM).
Как правило, основным аргументом «за» сервисную модель становится возможность сэкономить: покупка сервиса обходится на 40-60% дешевле, чем реализация собственного проекта обеспечения тех же самых услуг. Экономия здесь достигается за счет того, что заказчику не нужно тратиться на создание собственной ИБ-инфраструктуры. Из-за этого же нет и колоссальных капитальных затрат – они превращаются в операционные (в виде ежемесячной подписки).
Если для создания собственной защиты требуется четыре-шесть месяцев, то аутсорсинг сокращает этот срок до нескольких недель, а подключение или отключение новых площадок (по мере необходимости) занимает пару дней. Сервисный подход также решает кадровый вопрос. Не секрет, что на рынке наблюдается дефицит высококвалифицированных ИБ-специалистов. Это приводит к сложностям при подборе сотрудников, а также к их высокой «стоимости» на рынке труда. Когда речь идет о сервисной модели, заказчик фактически пользуется обширными наработанными компетенциями специалистов крупной ИБ-компании, которые ежедневно отражают сложнейшие кибератаки.
Но, несмотря на все аргументы «за», для многих перевод каких-то задач в части ИБ вовне – настоящий стресс. Поэтому здесь, как в поговорке: «И хочется, и колется». Разобрав плюсы, давайте поговорим про страхи, которые не дают решиться на сервисную модель.
Страх 1. Сервис – это кабала, а траты невозможно предсказать
В советские годы многие предприятия содержали собственные котельные, детские сады, магазины. Эти объекты принадлежали предприятию и была уверенность, что с ними ничего не случится и их можно как-то контролировать. Такой же подход сохранился и в ИБ: вы купили оборудование, оно установлено на инфраструктуре, его видно, оно работает и, кажется, что все под контролем.
Однако если оборудование выходит из строя или случается сбой, то восстановление работоспособности систем становится непредсказуемым процессом, особенно если требуется замена комплектующих, а их запас не был предусмотрен первоначальной закупкой. И что делать, если починить оперативно не получается?
Траты на сервис, напротив, прогнозируемы и не могут превышать по стоимости ежемесячную подписку. А так как сервис быстро масштабируется, клиент может практически в любой момент отключить какие-то точки или вовсе отказаться от услуг провайдера. Согласитесь, поменять оборудование, в которое уже вложил несколько миллионов, намного сложнее.
Страх 2. Тяжело отказаться от привычной модели затрат
Как правило, бизнес считает свои расходы категорией CAPEX (капитальные затраты), то есть сразу выделяет на реализацию проекта весь необходимый бюджет. Сервисная модель, в свою очередь, предполагает перевод капитальных затрат в операционные – в виде подписки на сервис.
Если вы привыкли в декабре сводить «дебет с кредитом», а все проекты оплачивать сразу, то подписка вашей модели затрат не подойдет. Поэтому сервис-провайдер может предложить сертификат на услугу. Фактически это предоплата за сервис на год вперед. Возможно, такой вариант больше устроит вашу бухгалтерию, и им не потребуется менять привычные процессы.
Страх 3. Сервис-провайдера невозможно проконтролировать
Деятельность своих сотрудников можно отследить, прописать им должностные обязанности, требовать регулярные отчеты, заходить к ним в кабинет и проверять, чем они занимаются. Так же и с оборудованием – директор по ИБ знает, какое «железо» стоит в инфраструктуре его компании и уверен, что знает, сколько времени займет исправление какой-то ошибки.
Но как контролировать сервис-провайдера, чьих сотрудников и чье оборудование вы практически не видите? Где гарантия, что все системы провайдера настроены корректно и он сможет оперативно среагировать на угрозу? Откровенно говоря, любой подрядчик, аутсорсер, сервис-провайдер – это «кот в мешке».
Преодолеть этот страх можно через совместные пилотные проекты, по итогам которых будет ясно, подходит ли вам этот подрядчик, манера его работы и сервисная модель в целом. Конечно, даже при идеальных «пилотах» дальше могут возникнуть сложности. Поэтому, помимо прочего, крайне важно при выборе подрядчика оценить его репутацию, наличие у него достаточной базы клиентов, которые ему доверяют, референсных проектов. По согласованию с существующими заказчиками аутсорсер может организовать референс-визит к ним, чтобы потенциальный клиент мог напрямую задать интересующие вопросы и убедиться в надежности поставщика услуги.
Тут важно понимать, что качество предоставляемых сервисов описывается конкретными четко измеряемыми параметрами уровня услуг (SLA): предельное время от момента сбоя до момента восстановления работоспособности инфраструктуры и время доступности сервиса в течение квартала. Также взаимодействие с сервис-провайдером предполагает, что клиент будет получать регулярные отчеты о состоянии инфраструктуры и о проделанной работе.
Страх 4. Если все сломается, провайдер не понесет никакой ответственности
Этот тезис особенно волнует компании, которые являются владельцами критической информационной инфраструктуры (КИИ) и несут административную и уголовную ответственность за сбои, возникшие из-за уязвимостей ИБ. Остальным остановка бизнес-процессов из-за атаки хакеров грозит репутационными и финансовыми потерями, что тоже совсем нерадостно.
Отметим сразу, что в госсекторе для подрядчиков действуют штрафы за простой инфраструктуры. Если же речь идет о частном бизнесе, то любой сбой по вине сервис-провайдера может серьезно ударить по репутации последнего. А так как подключение и отключение сервиса занимает считанные дни, ничто не мешает вам отказаться от услуг этого подрядчика.
Также в договоре с сервис-провайдером можно прописать штрафы за нарушение SLA.
Страх 5. Сервис-провайдер заберет часть компетенций у штатных ИБ-специалистов, и они останутся без работы.
Действительно, во многих сферах штатные сотрудники воспринимают аутсорсеров как конкурентов. Проблема обеспечения информационной безопасности заключается в том, что крайне редко компании могут выделить достаточный бюджет на формирование ИБ-службы (как мы указывали выше, компетентные специалисты достаточно «дороги»). Но даже при необходимом бюджете найти персонал на фоне кадрового дефицита сложно. В итоге штатных ИБ-специалистов приходится нагружать рутинными задачами, и у них не остается времени на более высокоуровневые, стратегические вопросы.
Если сервис-провайдер освободит их от рутины (например, от составления отчетов по событиям ИБ), то штатные «ибэшники» смогут заняться построением эффективных бизнес-процессов, осуществлять их мониторинг, разбираться в тонкостях KPI для качественной и количественной оценки работы сервис-провайдеров.
Поставщик ИБ-сервисов берется защищать клиентов от вполне конкретных рисков, определенных векторов и сценариев атак. И, соответственно, отвечает не за весь комплекс безопасности, а только за те функции, выполнение которых на себя взял. Но последнее слово и ключевая роль все равно остается за штатными ИБ-специалистами. Их сила — это четкое понимание бизнеса, структуры компании, финансовых вопросов, которое позволяет ему говорить с другими менеджерами на одном языке, выстраивая цепочку от бизнес-рисков до рисков ИБ.
Страх 6. Вдруг у сервис-провайдера нет нужных лицензий и сертификатов
Мы привыкли, что информационная безопасность – это сфера, где требуется множество сертификатов и лицензий от ФСТЭК, ФCБ и других регуляторов. А если сервис-провайдер не соблюдает compliance, придется ли за это отвечать его клиенту? Желание подстраховаться и проверить у поставщика услуги наличие всех возможных документов понятно. Но чаще всего это требование избыточно.
Например, при подключении сервиса защиты веб-приложений (WAF), заказчик просит у сервис-провайдера «аттестатат на систему по требованиям безопасности информации», чтобы удостовериться в защите персональных данных, которые могут присутствовать в анализируемом трафике. Но это требование чрезмерно по нескольким причинам. Во-первых, аттестация информационной системы по требованиям защиты информации в обязательном порядке проводится только для государственных информационных систем. Во-вторых, требования по защите персональных данных могут предъявляться только к информационным системам персональных данных, к которым тот же WAF не относится.
Страх 7. Пустить «чужака» в свою инфраструктуру
Сложно спорить с тем, что информационная безопасность – это важная составляющая внутренних бизнес-процессов компании. Например, финансовые организации хранят информацию о клиентах, включая их персональные данные, и отвечают за ее сохранность.
Но если сервис-провайдер обеспечивает безопасность ИТ-инфраструктуры, он получает доступ к информации заказчика, в том числе конфиденциальной? Скорее всего – ведь иначе он не сможет оказать услугу. Но между контрагентами должны быть подписаны NDA, SLA, которые вводят значительные штрафы за разглашение этой информации. Конечно, недобросовестные партнеры могут нарушить все соглашения. Поэтому выбирайте сервис-провайдера с хорошей репутацией, опытом и большим количеством клиентов, для которого «слив информации» станет тяжелым ударом по репутации и бизнесу. Многие компании открыто рассказывают о том, как проходит подбор кадров и повышение квалификации специалистов. «Ростелеком-Солар», например, работает с вузами и активно приглашает к сотрудничеству талантливых студентов, но при этом особенно ответственные позиции доверяются только опытным и проверенным работникам.
Впрочем, не забывайте, что риск нарушения политики ИБ собственными работниками ничуть не меньше: как показывает практика последних лет, именно они, а не хакеры, становятся основными виновниками утечек конфиденциальной информации.
Заключение
С одной стороны, у сервисной модели есть явные преимущества: скорость предоставления услуги, решение кадрового вопроса и профессиональная экспертиза, экономия средств. Для некоторых компаний это оптимальный вариант решения всех ИБ-задач. С другой – страхи заказчика также объяснимы и часто обоснованы, ведь и на этом рынке встречаются недобросовестные игроки.
Понимая это, ответственные сервис-провайдеры стараются повышать безопасность и качество своих услуг, а также глубже погружаться во внутренние процессы клиентов, максимально адаптируя свое предложение под нужды конкретного заказчика.
Мы не знаем, сколько времени пройдет, прежде чем «кибербезопасность из облака» станет стандартной практикой, не вызывающей вопросов. Но уже сейчас есть компании, где большая часть процессов отдана на аутсорсинг и ИБ-штат представлен только руководителем службы кибербезопасности. Это, прежде всего, предприятия и организации с географически разнесенными филиалами, а также с удаленными от крупных населённых пунктов площадками. Например, сельское хозяйство и медицина. К ИБ-аутсорсингу сейчас активно прибегают банки, даже несмотря на то, что у многих из них есть собственные специалисты и целые ИБ-департаменты. В ближайшее время мы скорее всего увидим и массовый переход на сервисную модель в сферах, на которые киберпреступники обращают все больше внимания: образование и ритейл.