Долгое время для защиты от хакерских атак компаниям достаточно было штатных специалистов по информационной безопасности (ИБ). Однако последние годы количество кибератак увеличивается, а их технический уровень растет. Противостоять этим угрозам самостоятельно становится все сложнее. Выделить дополнительный бюджет на расширение штата или закупку более сложного оборудования иногда просто невозможно. В этом случае есть альтернатива – отдать вопросы комплексного обеспечения информационной безопасности на аутсорсинг поставщику сервисов ИБ, который может предоставить и профессиональную экспертизу, и необходимую техническую базу для защиты от хакеров.
Но как доверить свою ИБ-защиту сторонней организации? Как контролировать сервис-провайдера, и на ком лежит ответственность за возможные потери в случае успешной атаки? Эти и множество других вопросов не дают некоторым компаниям решиться на сервисный подход в ИБ. Насколько они обоснованы – разбираемся вместе со специалистами «Ростелеком-Солар».
Если для создания собственной защиты требуется четыре-шесть месяцев, то аутсорсинг сокращает этот срок до нескольких недель, а подключение или отключение новых площадок (по мере необходимости) занимает пару дней. Сервисный подход также решает кадровый вопрос. Не секрет, что на рынке наблюдается дефицит высококвалифицированных ИБ-специалистов. Это приводит к сложностям при подборе сотрудников, а также к их высокой «стоимости» на рынке труда. Когда речь идет о сервисной модели, заказчик фактически пользуется обширными наработанными компетенциями специалистов крупной ИБ-компании, которые ежедневно отражают сложнейшие кибератаки.
Но, несмотря на все аргументы «за», для многих перевод каких-то задач в части ИБ вовне – настоящий стресс. Поэтому здесь, как в поговорке: «И хочется, и колется». Разобрав плюсы, давайте поговорим про страхи, которые не дают решиться на сервисную модель.
Страх 1. Сервис – это кабала, а траты невозможно предсказать
Это не так! Траты на сервис, напротив, прогнозируемы и не могут превышать по стоимости ежемесячную подписку. А так как сервис быстро масштабируется, клиент может практически в любой момент отключить какие-то точки или вовсе отказаться от услуг провайдера. Согласитесь, поменять оборудование, в которое уже вложил несколько миллионов, намного сложнее.
Страх 2. Тяжело отказаться от привычной модели затрат
Как правило, бизнес считает свои расходы категорией CAPEX (капитальные затраты), то есть сразу выделяет на реализацию проекта весь необходимый бюджет. Сервисная модель, в свою очередь, предполагает перевод капитальных затрат в операционные – в виде подписки на сервис.
Если вы привыкли в декабре сводить «дебет с кредитом», а все проекты оплачивать сразу, то подписка вашей модели затрат не подойдет. Поэтому сервис-провайдер может предложить сертификат на услугу. Фактически это предоплата за сервис на год вперед. Возможно, такой вариант больше устроит вашу бухгалтерию, и им не потребуется менять привычные процессы.
Страх 3. Сервис-провайдера невозможно проконтролировать
Деятельность своих сотрудников можно отследить, прописать им должностные обязанности, требовать регулярные отчеты, заходить к ним в кабинет и проверять, чем они занимаются. Так же и с оборудованием – директор по ИБ знает, какое «железо» стоит в инфраструктуре его компании и уверен, что знает, сколько времени займет исправление какой-то ошибки. Но как контролировать сервис-провайдера, чьих сотрудников и чье оборудование вы практически не видите? Где гарантия, что все системы провайдера настроены корректно и он сможет оперативно среагировать на угрозу? Откровенно говоря, любой подрядчик, аутсорсер, сервис-провайдер – это «кот в мешке».
Преодолеть этот страх можно через совместные пилотные проекты, по итогам которых будет ясно, подходит ли вам этот подрядчик, манера его работы и сервисная модель в целом. Конечно, даже при идеальных «пилотах» дальше могут возникнуть сложности. Поэтому, помимо прочего, крайне важно при выборе подрядчика оценить его репутацию, наличие у него достаточной базы клиентов, которые ему доверяют, референсных проектов. По согласованию с существующими заказчиками аутсорсер может организовать референс-визит к ним, чтобы потенциальный клиент мог напрямую задать интересующие вопросы и убедиться в надежности поставщика услуги.
Страх 4. Если все сломается, провайдер не понесет никакой ответственности
Этот тезис особенно волнует компании, которые являются владельцами критической информационной инфраструктуры (КИИ) и несут административную и уголовную ответственность за сбои, возникшие из-за уязвимостей ИБ. Остальным остановка бизнес-процессов из-за атаки хакеров грозит репутационными и финансовыми потерями, что тоже совсем нерадостно.
Отметим сразу, что в госсекторе для подрядчиков действуют штрафы за простой инфраструктуры. Если же речь идет о частном бизнесе, то любой сбой по вине сервис-провайдера может серьезно ударить по репутации последнего. А так как подключение и отключение сервиса занимает считанные дни, ничто не мешает вам отказаться от услуг этого подрядчика. Также в договоре с сервис-провайдером можно прописать штрафы за нарушение SLA.
Страх 5. Сервис-провайдер заберет часть компетенций у штатных ИБ-специалистов, и они останутся без работы
Действительно, во многих сферах штатные сотрудники воспринимают аутсорсеров как конкурентов. Проблема обеспечения информационной безопасности заключается в том, что крайне редко компании могут выделить достаточный бюджет на формирование ИБ-службы (как мы указывали выше, компетентные специалисты достаточно «дороги»). Но даже при необходимом бюджете найти персонал на фоне кадрового дефицита сложно. В итоге штатных ИБ-специалистов приходится нагружать рутинными задачами, и у них не остается времени на более высокоуровневые, стратегические вопросы.
Если сервис-провайдер освободит их от рутины (например, от составления отчетов по событиям ИБ), то штатные «ибэшники» смогут заняться построением эффективных бизнес-процессов, осуществлять их мониторинг, разбираться в тонкостях KPI для качественной и количественной оценки работы сервис-провайдеров.
Страх 6. Пустить «чужака» в свою инфраструктуру
Если сервис-провайдер обеспечивает безопасность ИТ-инфраструктуры, он получает доступ к информации заказчика, в том числе конфиденциальной? Скорее всего – ведь иначе он не сможет оказать услугу. Но между контрагентами должны быть подписаны NDA, SLA, которые вводят значительные штрафы за разглашение этой информации. Конечно, недобросовестные партнеры могут нарушить все соглашения. Поэтому выбирайте сервис-провайдера с хорошей репутацией, опытом и большим количеством клиентов, для которого «слив информации» станет тяжелым ударом по репутации и бизнесу. Многие компании открыто рассказывают о том, как проходит подбор кадров и повышение квалификации специалистов. «Ростелеком-Солар», например, работает с вузами и активно приглашает к сотрудничеству талантливых студентов, но при этом особенно ответственные позиции доверяются только опытным и проверенным работникам.