Кибербезопасность в сторонние руки
защита
Рынок ИБ-аутсорсинга в 2023 году продемонстрировал впечатляющий рост, превзойдя ожидания аналитиков: он составил примерно в два раза больше, чем рост всего рынка кибербезопасности. Среди ключевых факторов подъема эксперты называет экономию ресурсов: компании стараются свести к минимуму затраты по найму новых сотрудников и формированию собственных отделов кибербезопасности. Да и дефицит квалифицированных кадров не способствует пополнению штата. Между тем киберугрозы растут. Guide поговорил с экспертами и игроками рынка о рисках и возможностях ИБ-аутсорсинга
Аналитики утверждают, что около 60% компаний хотя бы раз прибегали к услугам сторонних организаций как разово, так и на постоянной основе
Фото: Евгений Павленко, Коммерсантъ
До 82% компаний готовы к аутсорсу
За 2023 год объем рынка услуг по кибербезопасности, как и средств защиты информации (включая NGFW), увеличился в сравнении с предыдущим годом на 31,1 и 27,6%, соответственно, приводит статистику директор Ideco Дмитрий Хомутов. Что касается аутсорсинга, то, по словам спикера, он становится более гибким и автоматизированным и это позволяет клиентам адаптировать услуги под свои запросы.
Согласно исследованию интегратора в области кибербезопасности «Информзащита», которое приводит «Ъ», в 2025 году до 82% компаний и организаций намерены отдать на аутсорсинг свою защиту от кибератак. Там же аналитики утверждают, что сейчас около 60% компаний хотя бы раз прибегали к услугам сторонних организаций как разово, так и на постоянной основе.
«Прежде всего хороший рост за последние два-три года демонстрируют MSS-провайдеры и коммерческие SOC-центры, оказывающие услуги по мониторингу и реагированию на кибератаки, а также аудиты ИБ, тестирования на проникновение, управление уязвимостями и поверхностью атак. Они позволяют быстро повысить уровень защищенности без значительных первоначальных расходов, а также предлагают широкую экспертизу, гибкое масштабирование, прозрачную ценовую политику. Кроме того, популярность растет и у таких предложений, как "DevSecOps/AppSec как услуга" и "Виртуальный директор по ИБ (vCISO)"»,— комментирует СЕО Security Vision Руслан Рахметов.
Среди популярных решений руководитель группы Центра управления кибербезопасностью ICL Services Алексей Морозков добавляет специфичные услуги на базе ASM-систем (Attack Surface Management). «Также стоит отметить предложения по большим интеграционным проектам по построению различных защищенных инфраструктур и внедрению комплексных системы защиты, в том числе в процессе миграции с зарубежных решений на отечественные»,— добавляет спикер.
Руководитель направления информационной безопасности ЦКР ИТ Алексей Кузнецов выделяет следующие наиболее заметные изменения за последние несколько лет в ИБ-аутсорсинге. Перестройка произошла в составе услуг: провайдеры все больше сфокусированы на предоставлении комплексных решений, закрывающих бизнес-потребность, а не отдельно взятую операционную функцию ИБ. Также провайдеры ИБ-аутсорсинга стали предлагать защиту облачных сред с учетом особых требований и рисков, связанных с облачными платформами. Технологии искусственного интеллекта приобретают все большее значение для автоматизации процессов, прогнозирования и предотвращения кибератак. Повышение киберграмотности становится ключевым фактором в стратегиях ИБ-аутсорсинга и провайдеры ИБ-услуг помогают организациям формировать подход и материалы обучения, направленные на различные фокусные группы, для минимизации угроз, связанных с человеческим фактором. «Обобщая, можно свести тренд к тезису: "Нет ИБ без цифровой грамотности"»,— подчеркивает господин Кузнецов.
«ИБ-аутсорсинг идет рука об руку с ИТ-аутсорсингом и развитием цифровизации, являясь некоторой формой "налога" на ИТ и "цифру". Часто бизнес автоматизирует и развивается быстрее, чем осознает последствия, поэтому, в отличие от ИТ-аутсорсинга, основным драйвером развития являются требования государства, к обеспечению безопасности разных категорий данных. Это ведет к тому, что у владельцев бизнеса и систем, возникает понятие ответственности перед клиентами и государством, а не только чистый бизнес-процесс. Поэтому ИБ-аутсорсинг будет чем-то средним между ИТ и бухгалтерским»,— выделяет тренд руководитель направления по работе с финансовым сектором компании «Информзащита» Денис Сенюков.
Взвешенность решения
Вызовы последнего времени заставили и крупный, и средний бизнес пересмотреть свои подходы к информационной безопасности, отмечает Руслан Рахметов. По его словам, особенность российского ИБ-аутсорсинга в том, что исторически крупные компании стремились держать свои секреты при себе: нанимали штат безопасников, инвестировали в создание системы ИБ, развивали собственную IT-инфраструктуру. Небольшие и средние компании, как правило, либо вообще не занимались собственной кибербезопасностью, либо возлагали эти задачи на ИТ-специалистов по остаточному принципу.
Сейчас реальность разрушительных кибератак заставила всех игроков обратить внимание на ИБ-компании, которые предлагают создание киберзащиты по аутсорсинговой модели.
Принимая решение выбрать ИБ-аутсорсинг, компания должна тщательно взвесить все за и против, объективно оценить все риски, сценарии реализации угроз и экономическую целесообразность, акцентирует заместитель директора дирекции кибербезопасности IBS Сергей Грачев. Он замечает, что чем крупнее компания и выше уровень зрелости ИТ- и ИБ-процессов, тем должен быть более взвешенный и продуманный подход к аутсорсингу. Концептуальные подходы к таким услугам закрепляются в стратегии развития и внутренних регламентах.
«В случае принятия решения о целесообразности использования аутсорсинга на отдельных сервисах ИБ необходимо как минимум определить перечень процессов и сервисов ИБ, выделить из них критичные, которые в любом случае не подлежат передаче (например, стратегическое планирование, управление доступом к информации, контроль привилегированных пользователей, защита коммерческой тайны)»,— говорит эксперт.
Важно тщательно выбирать провайдера, который сможет предложить прозрачные условия и понятную отчетность, добавляет СЕО компании «Облакотека» Максим Захаренко.
Чтобы предотвратить риск попасть в ситуацию, когда качество услуги не соответствует ожиданиям, нужно очень внимательно изучить контрагента, узнать о его партнерах и других заказчиках, возможно, попросить референс от них (это вполне стандартная практика для «чистого на руку» исполнителя). Такой совет дает Алексей Ахмеев, руководитель управления информационной безопасности и цифровизации Moneyman. Стоит внимательно обговорить условия оказания услуги в части соглашения об уровне обслуживания (SLA на сервис) и обязательно наладить контакт между локальным ИТ-подразделением и сотрудниками исполнителя.
Риски использования
Аутсорсинг информационной безопасности несет определенные риски. «Сторонние ИТ-специалисты нередко становятся причиной утечки конфиденциальной информации, так как для администрирования инфраструктуры, как правило, создается отдельный аккаунт с административными правами. Даже если у внешнего системного администратора нет злого умысла, причиной утечки могут стать неправильно настроенные права доступа. Решить эту проблему помогают PAM-системы, которые могут обеспечить не только мониторинг и запись сессий, но и гибкое управление правами»,— отмечает технический директор ARinteg Максим Деев.
Особенно с осторожностью к ИБ-аутсорсингу нужно подходить банкам и финансовым организациям. «Финансовые организации несут основную ответственность за защиту данных и должны предъявлять высокие требования к подрядчикам, особенно в случаях использования облачных сервисов IaaS, PaaS и SaaS. Обеспечение безопасности на этих платформах требует от провайдеров соблюдения строгих стандартов, особенно если речь идет о сертификации, контроле физического доступа к оборудованию и сегментации данных»,— поясняет Александр Хонин, руководитель отдела консалтинга и аудита компании Angara Security.
По словам эксперта, российский рынок ИБ-аутсорсинга находится в процессе адаптации к этим вызовам, предлагая специализированные решения и усиливая требования к подрядчикам. Однако не все задачи информационной безопасности можно или нужно передавать на аутсорсинг. Например, компании часто предпочитают оставлять управление критическими бизнес-данными и стратегическое планирование ИБ внутри организации, а рутинные задачи, такие как мониторинг и техническая поддержка, передавать на сторону подрядчика.
Что доверить?
Начать можно с передачи рутины, рекомендует Алексей Морозков. Например, с поддержки и сопровождения антивирусного решения или какого-то СЗИ, чтобы высвободить ресурсы и направить их на реализацию стратегических задач ИБ. Далее можно уже передавать более серьезные задачи, например, проектирование инфраструктуры ИБ, внедрение комплексных систем защиты. Аудиты ИБ, пентесты, и различные оценки защищенности должны выполняться внешними независимыми организациями, чего требует современные стандарты в области ИБ и регуляторы.
На российском рынке сегодня большое число разнообразных продуктов и услуг в ИБ-сфере, говорит Александр Злой, руководитель службы информационной и коммерческой безопасности ООО «Электрорешения». Предложение достаточно оперативно реагирует на изменения в законодательстве, запросы бизнеса, изменения киберсреды. Усложняющийся ландшафт и масштаб угроз, увеличение количества используемых сервисов и систем автоматизации, рост инфраструктуры и количества пользователей и клиентов стимулируют компании наращивать свой штат и количество средств защиты информации либо обращаться за помощью к внешним провайдерам.
«Все будет зависеть от того, какие задачи ставит перед собой заказчик, будь то снижение затрат или, наоборот, привлечение серьезной экспертизы. Более того, все зависит от того, насколько заказчик доверяет и готов подпустить внешнего поставщика аутсорсинга ИБ к своей инфраструктуре»,— добавляет господин Морозков.
«Я считаю, что внешним исполнителям лучше всего доверять задачи аудита, проведения пентестов, первоначальные настройки сложных и комплексных систем защиты информации, а также малозначимые работы типа обслуживания оборудования. Если есть доверенная компания, то ей можно отдать почти все виды работ»,— делится руководитель Лаборатории стратегического развития продуктов кибербезопасности «Газинформсервиса» Дмитрий Овчинников.
Однако он предостерегает от передачи повседневного контроля за защитой бухгалтерских систем. Подобного рода информация должна оберегаться и не должна покидать юридические рамки компании. «Хотя я надеюсь, что в будущем и этот рыночный тренд станет пережитком прошлого, когда на рынке появится много надежных и проверенных компаний, которые будут дорожить своей репутацией и содержать штат высококлассных специалистов»,— добавляет господин Овчинников.
Эксперт замечает, что особенность отечественного рынка аутсорса в том, что не у всех компаний есть доверие к сторонним ИБ-компаниям. Тех, кто работает на рынке на рынке ИБ свыше десяти лет, не так уж и много, и у них есть устоявшийся пул заказчиков. У молодых компаний нет такой клиентской базы и нет кредита доверия со стороны рынка. Даже внутри компании не всегда полностью доверяют администраторам и специалистам по ИБ. «Это специфика нашей психологии и неразвитости системы контрактов и договорных отношений, которая фактически находится в стадии развития и становления»,— акцентирует Дмитрий Овчинников.