В течение продолжительного времени компаниям, чтобы защитить себя от атак хакеров, вполне хватало, имеющихся в штате специалистов по ИБ. Но, как показывает статистика, за последние несколько лет число кибератак стремительно увеличилось. Существенно повысился и технический их уровень.
Бороться с такими киберугрозами с каждым разом становится тяжелее. Не всегда и не у всех есть возможность выделить дополнительные средства на то, чтобы расширить уже имеющийся штат и закупить спецоборудование. В качестве альтернативы могут быть услуги поставщика сервисов кибербезопасности. То есть, ему перенаправляются вопросы обеспечения кибербезопасности на аутсорсинг. Поставщик, в свою очередь, в состоянии предоставить профэкспертизу и нужную для защиты от хакерских атак техбазу. Вот тут и возникают вопросы, как передать свою киберзащиту другой организации, как осуществлять контроль сервис-провайдеров, кто будет отвечать, если попытки хакеров окажутся успешными. И это далеко не все моменты, которые мешают компаниям воспользоваться таким предложением. Обоснованы ли эти опасения, помогут разобраться эксперты из «Ростелеком-Солар».
В первую очередь, следует понимать, почему появилась надобность в сервисной киберзащите. Если проект информационной безопасности реализуется собственными силами, появляется необходимость в закупке спецоборудования, его установке и обслуживании, которым должны заниматься внутренние службы IT или ИБ. Следовательно, необходимо увеличить штат специалистов или же повысить нагрузку на тех сотрудников, которые уже есть в штате. При этом новые обязанности отличаются высокой степенью сложности.
Что касается использования сервисной модели, то понадобится заплатить за подписку и все. В будущем контроль над процессами инфобезопасности и управление ими переходит к специалистам провайдера. Закупка дорогого и технически непростого спецоборудования в таком случае не нужна, так как работа осуществляется через облако. При этом между площадками компании и провайдерским дата-центром происходит информационный обмен. В дата-центре происходит обработка поступивших сведений и их фильтрация согласно выбранному сервису. Так функционируют сервисы Solar MSS. В настоящее время серьезные сервис-провайдеры предлагают киберзащиту в различных направлениях.
В основном, главным аргументом в пользу сервисного решения является экономия. Купить сервис можно процентов на сорок-шестьдесят выгоднее, чем запускать свой проект. Заказчик экономит на отсутствии необходимости создания личной инфраструктуры информационной безопасности. В связи с этим снижается и уровень финансовых затрат. В данном случае они трансформируются в операционные (оплата подписки на месяц).
В случае реализации проекта своими силами понадобится от четырех месяцев до полугода. При аутсорсинге срок сокращается – проходит несколько недель. Если нужно подключить новые площадки или отключить какие-то, на это уходит около двух дней. Также решается и вопрос с кадрами. Найти действительно высококвалифицированных специалистов в этой области на рынке очень сложно. Возникают проблемы с подбором персонала, а если повезет и специалист будет найден, то с его высокой «ценой». При использовании сервисного подхода, заказчик получает возможность использовать уже наработанный опыт специалистов, отражающих суперсложные атаки хакеров в ежедневном режиме.
Несмотря на положительные моменты, для многих облачный подход к киберзащите является серьезным стрессом. В итоге, вроде бы и хочется обезопасить себя от хакеров на выгодных условиях, но страшно. Осталось понять, какие именно страхи мешают использовать этот вид киберзащиты.
Первый страх: это реальная кабала, при которой нельзя предсказать затраты
Во времена Советского Союза на многих предприятиях были собственные магазины, детсады, котельные. Они были собственностью предприятия, поэтому никто не переживал, что что-то с ними произойдет и были уверены, что объекты есть возможность держать под контролем. Аналогичный подход и в случае с ИБ. Спецоборудование куплено и установлено, функционирует. Соответственно, создается впечатление, что все контролируется.
Но при поломке оборудования или сбое в его работе восстановление его функционирования может затянуться. Особенно в случае, когда нужно менять комплектующие, а их нет в наличии. Как быть, если все исправить быстро не удается?
В случае с сервисом затраты предельно понятны. Они не превысят размер оплаты за подписку за месяц. Учитывая постоянную масштабируемость сервиса, заказчик в любую минуту может отключить определенные точки или полностью отказаться от услуг. Естественно, осуществить замену дорогостоящего оборудования гораздо сложнее.
Второй страх: сложно перейти на другую модель осуществляемых затрат
Практически всегда в бизнесе расходы классифицируются, как капитальные затраты – на запуск и введение проекта выделяется весь бюджет. В случае с сервисной моделью эти затраты становятся операционными, то есть, оплачивается подписка.
Если модель трат предполагает сведение всех расчетов в декабре и оплата проектов сразу, то подписка к этой модели не подходит. В таких случаях провайдер может внести предложение в виде покупки сертификата на данную услугу. По факту – это предоплата на следующий год предоставления услуги. Таким образом, менять устоявшийся порядок не придется.
Третий страх: отсутствие контроля над сервис-провайдером
Работу штатных специалистов можно спокойно отследить, установить им профобязанности, потребовать отчеты о проделанной работе, проверять, что они делают на своем рабочем месте. Аналогичная ситуация и с оборудованием. Руководитель по инфобезопасности хорошо знает, что у него в компании за «железо», и понимает, сколько уйдет времени на исправление ошибок.
Каким образом осуществлять контроль над сервис-провайдером, учитывая то, что специалистов и оснащения его не видно? Какие есть гарантии, что системы корректно настроены и он оперативно начнет реагировать на возникшую угрозу? Действительно, это «кот в мешке».
Лишиться данного страха есть возможность, если осуществить совместные с провайдером пилотные проекты. В итоге станет понятно, подходит такой вариант конкретно вам или не подходит. Естественно, в дальнейшем в любом случае могут возникать проблемы. Поэтому следует заранее узнать репутацию будущего исполнителя и провести ее оценку, узнать, сколько клиентов испытывают к нему доверие. Аутсорсер, согласовав заранее этот вопрос, может организовать визит к ним. Так можно спросить обо всем, что интересует напрямую.
Следует знать, что качество сервисов в данном случае описывается определенными четкими параметрами (SLA): время с того момента, когда произошел сбой и до полного восстановления функционирования инфраструктуры и, когда на протяжении квартала сервис является доступным. Кроме этого, клиенту в обязательном порядке будут приходить отчеты о том, какая работа была сделана, и в каком состоянии находится инфраструктура.
Четвертый страх: при поломке провайдер не будет ни за что отвечать
Особенно переживают по этому поводу владельцы организаций КИИ, на которых возлагается не только административный тип ответственности за проблемы, возникшие в связи с наличием уязвимостей информационной безопасности, но и уголовную. Что касается остальных компаний, то пострадать может их репутация и финансовое состояние и это тоже проблема.
В государственном секторе для подрядчиков за простой предусмотрены штрафы. В случае с бизнесом частного порядка, то сбой, виновником которого стал подрядчик, серьезно отразится на его репутации. На отключение сервиса уходит всего пару дней, поэтому отказаться от такого сервис-подрядчика можно в любое время.
Кроме этого, пункт о штрафных санкциях за допущенные нарушения всегда можно указать в договоре.
Пятый страх: часть обязанностей уйдет от специалистов по инфобезопасности, которые есть в штате, к провайдеру, что оставит этих сотрудников компании без работы
На самом деле в ряде сфер сотрудниками компании аутсорсеры воспринимаются именно, как конкуренты. Основная проблема кибербезопасности заключается в невозможности выделить средства на организацию полноценной ИБ-службы. Но, если деньги и найдутся, сложность возникает уже с кадрами – настоящие профессионалы в этой сфере деятельности в дефиците. Поэтому специалистов, которые имеются в штате, нагружают заданиями рутинного характера. Времени на решение более важных, стратегических задач практически не остается у них.
В том случае, когда провайдер возьмет на себя рутинные задачи, штатные специалисты смогут выполнять работу более высокого уровня.
Поставщик возлагает на себя определенный спектр задач по кибербезопасности и отвечает за их выполнение. Основная роль в любом случае остается за теми, кто работает в штате.
Шестой страх: а если у провайдера нет требуемых разрешительных документов
У нас в мозгах отложился стереотип, что все связанное с кибербезопасностью сопряжено с наличием огромного количества соответствующих разрешительных документов, выданных различными регуляторами, в частности ФСБ. Будет ли клиент отвечать клиент при несоблюдении провайдером норм. Желание проверить, есть ли у поставщика какие-то документы или нет, вполне объяснимо, но, в большинстве случаев, в этом нет необходимости.
Седьмой страх: пустить в собственную инфраструктуру постороннего
Инфобезопасность является важным моментом в осуществлении всех процессов внутреннего порядка. Если брать финансовые компании, то они хранят данные о клиентах, среди которых и личные, за безопасность которых они полностью в ответе.
В ситуации с провайдером, вероятнее всего, у него будет доступ к информации этой категории, что необходимо для качественного выполнения поставленной перед ним задачи. И здесь стороны обязаны подписать NDA, SLA. Следовательно, за разглашение данных провайдера будут ждать штрафные санкции. Чтобы эти соглашения нерадивым партнером не были нарушены, следует отдавать предпочтение при выборе партнера тем провайдерам, у которых безупречная репутация, много клиентов и «слив данных» для него подобно смерти.
Также, следует понимать, что есть еще и риск нарушения политики конфиденциальности штатными работниками и он тоже велик. На практике видно, что в большинстве случаев утечки происходят не по вине хакеров, а по вине своих же сотрудников.
Выводы
Сервисная модель имеет ряд преимуществ: оперативность в предоставлении данной услуги, разрешение проблемы с кадрами, профэкспертиза, существенная экономия. Для ряда компаний это идеальный вариант. Но и страхи потенциальных заказчиков легко объяснить, а зачастую они являются обоснованными. Нечестные игроки есть и в этом рыночном сегменте.
Все это хорошо понимают ответственные провайдеры. Поэтому они регулярно работают над повышением уровня безопасности и качеством предоставляемых услуг, по максимуму подстраивают свою работу под потребности каждого клиента.
Когда облачная кибербезопасность перестанет быть чем-то «страшным» для многих компаний, пока не ясно. Но даже сегодня немало организаций передала подавляющее число процессов на аутсорсинг, а штат ИБ состоит исключительно из начальника службы информационной безопасности. В большинстве своем, это организации, филиалы которых находятся на разных географических территориях, есть площадки, которые расположены далеко от больших населенных пунктов (медицина, сельское хозяйство). Часто к услугам сервис-провайдеров прибегают финансовые организации. Возможно, скоро на аутсорсинг перейдут и ритейл, а также образование. Эти сферы у хакеров вызывают все больший интерес.